アクロニス・ジャパンは、10月のアメリカにおける「サイバーセキュリティ啓発月間」開始にあわせて、サイバーセキュリティの文化を醸成する手段について公式ブログの10月1日付投稿で紹介している。
●サイバーセキュリティ啓発月間からの学びとは?
サイバーセキュリティ啓発月間は2023年に20周年を迎えたが、同年10月に匿名のCISO(最高情報セキュリティ責任者)から「私たちは20年前と同じ愚かな間違いを今でも繰り返している」と発言するなど、その価値を疑問視する声もある。
一方で、23年に行われた調査によれば、アメリカ人の87%が四つの候補の中から最もセキュアなパスワードを選べるようになり、3分の2の人がクッキーの存在理由を知っているなど、セキュリティ知識の面で大きな進歩を遂げた。さらに、悪意のあるリンクをクリックするといった「人的要素」がデータ侵害につながった割合は68%と、22年(82%)、23年(74%)と比較して確実に低下している。
しかしながら、多要素認証の実証は22年の時点で54%にとどまったほか、全てのアカウントで同じパスワードを使う割合は、21年の19%から23年に30%に上昇するなど、悪いニュースも聞かれた。
こういった状況を受けて、アクロニスの公式ブログ投稿では、サイバーセキュリティの文化を醸成するため、「従業員にサイバー攻撃の実情を伝える」「サイバーセキュリティについて毎日率直に話し合う」「模範を示す」「適切なテクノロジーの導入」といった手順を提案している。
「従業員にサイバー攻撃の実情を伝える」では、ビジネスオーナーやIT管理者がサイバーセキュリティは全員の責任であり、サイバー攻撃によって業務の縮小や従業員の解雇に至る可能性があることを従業員に伝える必要性を訴える。これは、攻撃の被害を受けた従業員を解雇すると脅すわけではなく、従業員全員にサイバー攻撃によって事業を完全に停止してしまう可能性があり、従業員の仕事仕事が毎日危機にさらされている実情を知ってもらうよう求めている。
「サイバーセキュリティについて毎日率直に話し合う」は、チームミーティングやマネージャーとの個別ミーティング、社内全体のミーティングといった日常的な会話の中に、サイバーセキュリティの話を組み込むことを意味する。従業員に対してサイバーセキュリティのハイジーンを守るよう説教したり、非難したりする必要はなく、サイバーセキュリティの重要さと、オンラインで安全に活動するために1人1人が一体となって取り組んでいるということを知らせる必要性を訴えている。
「模範を示す」では、組織の経営者やIT管理者が疑わしいメールを受信した際に警告を発したり、ユーザーにパスワードウォレットを提供してその使用方法に関するトレーニングを行ったりといった、サイバーセキュリティのベストプラクティス実践を通じて、従業員にも同様の取り組みを推奨することを求めた。
「適切なテクノロジーの導入」では、サイバーセキュリティ意識向上トレーニングの実施することで、サイバーセキュリティの文化を構築するための堅固な基盤を作るとともに、最悪の事態が発生した場合に備えてデータを保護し、バックアップするテクノロジーの必要性を訴えている。