Let's Stop Blaming Employees for Our Data Breaches
信頼していたネットワークからデータが流出した場合、悪意があると考えるのが一般的かもしれません。従業員がデータを盗んだというニュースの見出しを見て、その結果、データ漏洩は一般的に悪意のあるものだという結論に達するように自分を仕向けているのです。しかし、信頼している従業員がネットワークからデータを流出させた場合には、もう少し詳しく調べてみる必要があります。特に、データ流出のケースは、従業員のミスや怠慢が原因であることが多いからです。
貴社の従業員の大半は、善意の勤勉な人々であり、決してサイバーセキュリティの問題を起こそうとは思っていません。実際、2020年には、データ漏えい全体の17%がヒューマンエラーによって引き起こされ、2019年の2倍になっています。
新入社員は、個人情報をより簡単に利用できるようにするために、個人用のiCloudドライブを仕事用のデバイスに追加しますが、会社のデータが自動的にiCloudアカウントにアップロードされてしまう初期設定があることに気づきません。また、パンデミック時にリモートで仕事をしているメンバーが、仕事用のコンピュータが起動していないときに、個人のラップトップからファイルにアクセスしてしまうこともあります。いずれにしても、従業員は問題を起こすつもりはありませんでした。セキュリティチームが従業員に悪意があると判断しても、将来のデータ損失を防ぐことはできません。
実際、従業員が知的財産や企業秘密を盗もうとしていると考えると、セキュリティチームと従業員が対立し、セキュリティに関する不必要なストレスを抱えることになりかねません。私たちは、従業員が仕事を終わらせようとしていること、そして彼らの行動が肯定的な意図を持ったものであることを推測することから始める、より良いアプローチを必要としています。
積極的なセキュリティ文化の構築は、従業員の入社初日から始まります。たとえ5分でもいいので、入社時のプロセスにセキュリティの話を盛り込みましょう。その時間を利用して、セキュリティチームは従業員を狙っているわけではなく、会社の資産を守るためには従業員の協力が必要であるというトーンを設定します。また、従業員がセキュリティチームとどのように協力していけばよいのか、その基礎を築いておく必要があります。支援が必要なとき、質問があるとき、問題や懸念を報告する必要があるとき、どこに行けばいいのか?
また、従業員を敵ではなくセキュリティ・ヒーローとして位置づけるために、定期的に効果的なサイバーセキュリティ・トレーニングを行うことも重要です。悪意のあるデータ窃盗だけに焦点を当てるのではなく、意図せずにデータが流出してしまう一般的な方法についてチームを教育することで、意識を高め、将来的に発生しないようにします。
どんなトレーニングにも言えることですが、トレーニングを定着させることも大切です。そのためにはどうすればいいのでしょうか?トレーニング自体を魅力的なものにすることです。形式を変えて、可能な限りインタラクティブにしましょう。フィッシング・トレーニングは、テストメールをクリックしない、報告しないというスコアを上げるためのセキュリティ上の課題であるとアピールし、なぜフィッシング・トレーニングを提供するのかを明確にします。私たちは通常、新入社員にフィッシング・テストを行うことを予告しています。これはトリックではなく、疑わしいメールを認識し報告することを学ぶためです。実践する機会のないものを得意とすることは期待できません。
透明性は、どちらの方向にも有効です。Code42では、ファイルを移動したり共有したりする業務上または個人的な理由がある場合、従業員に警告するよう求めています。例えば、最近退職する社員が、仕事用ドライブに保存していた個人的な写真を個人用ドライブに移す予定であるとセキュリティチームに通知してきました。このような積極的な行動は、調査時間を短縮し、セキュリティチームが暗号化されたドライブなど、より安全な転送方法を提案することができるため、有用です。
従業員が悪意を持ってデータを流出させる可能性はまだあります。しかし、どのようなデータ漏洩も、その背後にいる人物が善意であることを前提にして対処するのが最善です。セキュリティ上のミスやエラーについて従業員に連絡する際に、どのような言葉や表現を使うかによって、あなたが助けを求めていることを示し、従業員が安心してあなたのチームと一緒に働きたいと思うようにすることができます。
例えば、不審なファイル転送に気づいた場合、従業員に「個人のメールアカウントにファイルが転送されていることに気づきました。あなたが個人の電子メールアカウントにファイルを転送したという通知を受けたので、あなたのコンピュータをロックしています」ではなく、「あなたはこれを知っているかどうか確認できますか?また、必要なセキュリティトレーニングを完了していない人がいる場合は、次のように言うことができます。"私たちの記録によると、あなたのセキュリティトレーニングは期限切れになっていますが、確認していただけますか?" 多くの場合、従業員からはトレーニングの場所を尋ねる返事が返ってくるので、過失ではなく教育やコミュニケーションの問題であることがわかります。
セキュリティ問題は、社員にとってもセキュリティチームにとっても大きなストレスとなります。ほとんどの従業員が善意であることを強調するために、セキュリティに関する物語を書き換え、強化する必要があります。そうすることで、チームが従業員を信頼できるセキュリティ・パートナーとして見ていることが従業員に伝わり、企業はより効率的で積極的なセキュリティ・アプローチが可能になります。