ホワイトハットハッカーに聞く「セキュリティに関する無理解」の怖さとは

企業や組織のIT化が進み、テレワークなど働き方も多様化する中、セキュリティ上の脅威はますます深刻になっています。

しかし自組織内でセキュリティへの理解を促したり、セキュリティ人材を確保したりすることは、簡単なことではありません。そこで、日立ソリューションズ・クリエイトでは、講義動画やライブ中継などを用いた「サイバーセキュリティトレーニング」を提供しています。

今回は、当トレーニングを担当するホワイトハットハッカーである平岡豊さんに、セキュリティに関して無理解でいると企業や個人にどのような被害をもたらす恐れがあるのか、今、何を理解しておく必要があるのかなどを聞きました。

＜話を聞いた人＞

平岡豊さん：日立ソリューションズ・クリエイト所属のホワイトハットハッカー。「サイバーセキュリティトレーニング」の講師を務める。CEH（認定ホワイトハッカー）資格所有。

1. どんな企業や組織、個人でもサイバー攻撃の被害に遭う
2. セキュリティに対してどんな無理解が多い？
3. 「サイバーセキュリティトレーニング」のトレーニング内容とは
4. 組織としての対応力向上が図れる「組織向けメニュー」
5. ホワイトハットハッカーによるトレーニングで変化する意識
6. 100%は防げないため「サイバーレジリエンス」の知識も必要
7. 「サイバーセキュリティトレーニング」のご案内

どんな企業や組織、個人でもサイバー攻撃の被害に遭う

―サイバー攻撃の恐ろしさはよくニュースなどでも伝えられますが、多くの人はどうしても「他人事」と考えてしまうかもしれません。実際はどのような危険があるのでしょうか。

平岡さん
「どのような企業や組織、個人でも、常時サイバー攻撃の被害に遭う危険性があります。典型的なサイバー攻撃は、特定の企業をターゲットとしてその社員に向けてメールを送信し、マルウェアを仕込んだURLを開かせる手口です。パソコンがマルウェアに感染してしまうと、そこから機密情報が抜き取られてしまう恐れがあります。

また、URLやファイルを開かせて端末に侵入し、ファイルを暗号化して金銭を要求するランサムウェアによる被害も後を絶ちません。特定の企業が狙われる場合もあれば、不特定多数に手当たり次第メールが送られるようなケースもあります」

―現在特に気をつけた方がいい脅威にはどんなものがありますか？

平岡さん
「近年増加しているのは『サプライチェーン攻撃』です。これは、マルウェアを仕込んだメールを、ターゲット企業のグループ会社や業務委託先、発注先、仕入れ先などに送りつけるもの。こうした企業は大企業よりもセキュリティが行き届いていないケースが多いため、ハッカーに狙われやすくなっています。グループ会社や業務委託先などから侵入したウイルスは、ターゲットとなる大企業や他のグループ会社まで到達し、グループ会社全体に被害が及びやすいのが特徴です」

セキュリティに対してどんな無理解が多い？

―講師としてさまざまな企業や人と関わる中で、受講者の理解が足りていないと思うのはどんなところでしょう。

平岡さん
「よく見受けられるのは『サイバー攻撃は大企業が狙われる』という誤解です。前述の通り、最近はサプライチェーン攻撃による中小企業の被害も増加しています。サイバー攻撃を受けると、被害を受けたサーバーやパソコンが復旧するまで業務に支障が出るだけでなく、情報漏えいの起点として他企業から損害賠償を請求される可能性も高いです。これにより、大きな金銭的被害に遭う危険性があります。

また個人では、時間や手間がかかることから『パソコンやスマートフォンのシステムアップデートに対応していない』という事象も見受けられます。システムアップデートはセキュリティ対策を含んでいるために行われることが多いので、アップデートしていないとサイバー攻撃があった際に被害を受ける可能性が高くなりますが、これを理解していない方も比較的多い印象です」

「サイバーセキュリティトレーニング」のトレーニング内容とは

―「サイバーセキュリティトレーニング」では、実際どのようなトレーニングを行うのでしょうか。

平岡さん
「『サイバーセキュリティトレーニング』では、CEH（認定ホワイトハッカー）資格を所有している当社のホワイトハットハッカーが、教材の作成や講義を行っています。

入門・初級・中級とレベル分けされており、入門は、これからセキュリティを学ぼうという、全く基礎知識がないような方も対象としたレベルです。一番受講者が多いのは初級で、ある程度知っているけれどもう少し深いところまで知りたいという方が選ばれています。何を受講するか迷う方には、より身近な『マルウェア対策（基礎）』をおすすめしています。

その後、実際にサイバーセキュリティのインシデント対応を行う『CSIRT（シーサート）』や情報システム部門の方は中級を受けていただくことも多いです。

個人単位で受講するすべての講座は、1.講義動画での知識取得、2.サイバー攻撃による脅威の体験、3.サイバーセキュリティの専門家による対談、4.実際の対策に対するアドバイス、といった4工程がセットになっています。また、講座の受講後に講師が質問に答えるライブ中継つきのメニューもあります。これは不明点をその場で解消できるのがメリットです」

―特に反響が多いトレーニングはありますか？

平岡さん
「サイバー攻撃による脅威の体験ですね。実際にマルウェアに攻撃され、情報が抜き取られる状況を体験すると、多くの方から『怖い！』という感想をいただきます。

これらの個人向け講座はオンラインからいつでも受講できるので、仕事との調整もしやすいと思います。また、企業や組織によってセキュリティの課題はさまざまですので、内容のカスタマイズにも対応しています。

受講者は、一般社員からCSIRTや情報システム部門の方、経営層までさまざまです。受講者の所属企業も幅広く、業界・業種を問わず受講いただいています」

組織としての対応力向上が図れる「組織向けメニュー」

―2022年に組織向けのメニューも追加されていますが、個人向けとの違いは何ですか？

平岡さん
「組織向けメニューは企業単位でお申し込みいただき、丸一日の集合トレーニングを実施します。個人でのセキュリティ対策には限りがあり、実際に企業がサイバー攻撃を受けた際には、組織としての対応が必須です。そのため、組織としてのセキュリティ対応力の向上をめざした内容で構成されています。

現在、標的型メールへの対策を学べる「入門」と、サイバーセキュリティ演習を学べる「初級（※）」の講座を提供しています」
※組織向けメニューである「サイバーセキュリティ演習 初級」は、国立研究開発法人情報通信研究機構（NICT）がオープン化のトライアルを開始した演習基盤を活用した実践的なもので、当社は民間企業として初めてこの演習基盤を活用してサービスを提供しています。

ホワイトハットハッカーによるトレーニングで変化する意識

―トレーニングを受けた企業や人は、受ける前後でどのような違いが出てきますか？

平岡さん
「受ける前はサイバーセキュリティの知識がほとんどなかった方でも、トレーニング後には基礎的な知識がつき、どのように対策したらいいのかを理解されている印象です。また中級を受講された方は、インシデントやぜい弱性への対応などを具体的に理解いただいています。

受講を希望される企業からは『サイバーセキュリティに関して何を学んだらいいのかわからない』『サイバーセキュリティ人材を育てたい』といった要望をいただくことが多いので、その点はきちんとクリアできていると自負しています」

100%は防げないため「サイバーレジリエンス」の知識も必要

―変化の激しい時代にあって、持っておきたいセキュリティの知識や、受けておきたいトレーニングなどはありますか？

平岡さん
「サイバー攻撃の脅威は継続して存在するため、火事や地震を想定した避難訓練と同じく、定期的にトレーニングに触れることが重要だと考えています。

また、どんなにサイバーセキュリティ対策を実施したとしても、日々高度化・多様化する攻撃を100％防げるとは言い切れません。そのため、サイバー攻撃のインシデントを早期に発見し、被害を最小限に食い止める『サイバーレジリエンス』（※）の知識も持っておくとよいでしょう。
※サイバーレジリエンスとは、サイバー攻撃を受けた後に適切に対応し、回復させる力や、そうするための仕組み、考え方などのことを言います。

『サイバーセキュリティトレーニング』を受講する企業は、新人を含む若年層のセキュリティ教育での活用、またはサイバーセキュリティの専門知識習得のため受講するケースも多く見られます。
サプライチェーン攻撃の起点になりやすい中小企業こそ、『サイバーセキュリティトレーニング』を受講いただきたいと思っています。まずは数人でトレーニングに参加し、サイバーセキュリティへの感度を高め、具体的なセキュリティ施策へと落とし込んではいかがでしょうか」

「サイバーセキュリティトレーニング」のご案内

企業や個人を狙ったサイバー攻撃が高度化・巧妙化している中、技術・人・組織を総合したセキュリティ対策が必要不可欠です。そこで日立ソリューションズ・クリエイトでは、セキュリティにおける人材育成、組織力強化を支援する「サイバーセキュリティトレーニング」を提供しています。

個人のセキュリティ知識を強化する「セキュリティ人材強化トレーニング（入門・初級・中級）」と、組織のインシデント対応能力を強化する「セキュリティ組織強化トレーニング（入門・初級）」の2つを用意し、そのニーズに応じてトレーニングを受けていただけます。1講座の費用は、1人2万円（税抜）〜。サイバーセキュリティトレーニングに興味がある方は、お気軽にお問い合わせください。

「サイバーセキュリティトレーニング」の詳しい説明やお問い合わせはこちらから
・サイバーセキュリティトレーニング

なお、ホワイトハットハッカーによる「セキュリティ診断サービス」をはじめ、日立ソリューションズ・クリエイトにはさまざまなセキュリティ関連のソリューション・商品を提供しています。併せてご検討ください。

あわせて読みたい

• 【ソリューション/サービス】「サイバーセキュリティトレーニング」