セキュリティベンダーとはいえ、Sophosも普通の企業と同じように従業員(と企業)の安全を維持すると同時に、業務を行うのに必要な自由を与えなければならない。Sophos自身のサイバーセキュリティとはどのようなものか、同社がブログで明かしている。

Sophosの従業員は企業に貢献し、良い業績を上げ、同時に同僚、企業顧客、一般顧客もサポートしたいと思っている。だがいまの時代は良い気持ちを持つことは攻撃されかねないことになり、簡単に攻撃されるという性質こそソーシャルエンジニアが虎視眈々と狙っているものなのだ、とさすがに厳しい指摘だ。

攻撃者の立場からみると、一般的にマシンよりも人間を通過することの方が簡単だ。サイバー犯罪者の攻撃術や技を理解していない限り、人は簡単に攻撃者の罠にかかってしまう。これは同時に、企業をリスクにさらすことにつながっている。ソーシャルエンジニアを使った攻撃に対しては、正しい管理と啓蒙プログラムを組み合わせて展開することが最善の防御となる。まずは"シンプルで人間が理解できる"ポリシーを立て、トレーニングを行って意識を高める訓練を勧めている。

窓口はどこか

社員には問い合わせの窓口となるものが必要。問題があった時や困った時にヘルプを求めることができる人やチームがわかっているというのは重要なことだ。内容が重大であればそこから別の人にあげたり、問題がいかに小さなものでも確認してくれる窓口だ。

大きなインシデントだって小さな兆候から始まる。Sophosでは、従業員向けに作成するすべての資料、たとえば人事部からのメールだったり、休憩室のポスターだったり、従業員向けに展開するプログラムだったりと窓口を明記するようにしている。

啓蒙活動を通じた教育

Sophosでは、「7 deadly sins of security(7つの致命的なセキュリティ上のミス)」という啓蒙キャンペーンを社内で展開している。同キャンペーンを通じて従業員に、フィッシング、パスワード、ドキュメントの共有など基本的なセキュリティ問題について教えている。

直近のキャンペーン「Don’t let your data get ripped – Encrypt!(データを盗まれる前に暗号化を!)」は、われわれのファイルレベルの暗号化製品「SGN 8」のフルローンチに合わせて展開した。

社内の教育キャンペーンを通じて社員はいくつかのリスクについて知り、ブログポスト、バナー、オフィス内のポスターからどのように対応すればよいのかを学んでいる。

新入社員だけでは不十分

新たに会社に入る時にセキュリティトレーニングと認知啓蒙活動を行い、あとはそのままというのは不十分だ。また定期的にポリシーをひたすら伝えるというのも効果的とはいえない。

まずはシンプルなポリシーでスタートし、継続的なプロセスとして展開すべきだ。社員が関心を持ち、十分な情報を得る方法をいくつか用意しておきたい。

フィッシング

Sophos社内で認知を高めるために試みている方法が、フィッシングテストだ。現在でも、同僚がフィッシングのような脅威にどう対応するのかをテストしている。社内で行っているテストは、セキュリティチームが受け取った実際のフィッシング脅威をもとに、われわれのドメインに似たものを利用して行動を喚起する。だいたい月に1度行っており、引っかかった人はすぐに、なにに気をつけなければならないのかとその理由を説明したトレーニング教材を自動的に受ける。

また、社員がフィッシングと思われるものを受け取った場合、開封する前にその情報をセキュリティチームに渡すことを奨励している。これを奨励する目的で、フィッシングを簡単にレポートできる方法も用意している。その一つが、Outlookに追加しているセキュリティチームへの連絡ボタンだ。これならば直接的で、脅威から事前に守ることができる。

パスワードの保護

パスワード監査プログラムも展開している。長いパスワードを利用すること、そしてパスワードマネージャーを利用するよう奨励すると同時に、社員のパスワードをチェックしてあまりにシンプルなものは破られることを伝えている。簡単に破られるパスワードを設定しているユーザーは、パスワードに関するトレーニングキャンペーンを再訪することになる。

同社はこのようにしてセキュリティを文化として組み込むことを図っている。ここで紹介したのは、ほんの一部であり重要なことは、コンスタントに行なうということだと結んでいる。