セキュリティに対する意識を高める Akamai のトレーニング

Akamai では、ほとんどの従業員を対象に、セキュリティ関連のトレーニングを入社初日から継続的に実施しています。以下に示すのは、この教育プログラム、各従業員が受けるトレーニングの概要です。

セキュリティに対する意識を高める Akamai のトレーニング

目的:

Akamai は、従来の教育だけでなく、セキュリティ情報についてディスカッションし、セキュリティ情報を優先的に扱うことがセキュリティに対する意識を高めると考えています。

適用範囲:

この方針は、Akamai の全従業員に適用されます。 

方針:

社員は、入社月とその後は年に 1 回、全般的なセキュリティトレーニングを受講することになっています。 初日のオリエンテーションで、新入社員は Akamai InfoSec のメンバーがライブで配信する 40 分に及ぶ Akamai のセキュリティ手順の概要を受講します。

役割と責任:

全社員が年 1 回、Akamai 情報セキュリティプログラムを受領し、補習トレーニングを利用することに同意する必要があります。 補習トレーニングは、主として動画プレゼンテーションおよびドキュメントという形式で利用できます。 情報セキュリティグループでは、社員の同意を追跡して、Akamai 社員の同意率が常に 96% を超えるようにしています。 

製品管理により、セキュリティ要件があらゆるメジャー製品リリースの主要コンポーネントとしてディスカッションされるようになり、クレジットカード所有者とその他の機密データがすべてのソリューションで関連するセキュリティ規格に従って安全に保護されるようになります。

経営陣が、Akamai のセキュリティ態勢を次のように複数の側面から定期的にレビューします。

  • セキュリティのリスクおよび脆弱性の特定および改善の進行状況。 
  • セキュリティを実践し、意識を高めるために全社規模でコミュニケーションを図る機会。 
  • Akamai がネットワークセキュリティ業界で継続的に企業セキュリティを提供し、プレゼンスを示しているというその他の側面。 

ケーススタディ:

ここでは、Akamai 社員 Bill Brenner 本人の解説を基に、Akamai のセキュリティトレーニングに参加するとはどういうことなのかを示します。 Brenner は、シニア・プログラム・マネージャーとして記事、ポッドキャスト、動画、ブログ、およびその他のメディアを通じて、Akamai のセキュリティを巡るストーリーを伝える業務を担当しています。

この 10 年間 InfoSec について書いてきましたが、未だに恥ずかしい思いをするときがあります。 昨年、本に記載されているソーシャルエンジニアリングの中でも特に古い手口に引っかかったことがありました。Twitter のダイレクトメッセージにあったリンクをクリックしてしまったのです。同僚の誰かから送られたメッセージで、私について誰かが書いた不快な投稿を見たかどうかを尋ねるという内容でした。 同僚の Twitter アカウントが乗っ取られていて、同じようなメッセージが同僚の連絡先に送信されました。 リンクをクリックしてすぐに、アカウントとマシンの安全性を損なうような事態を招いたことを知りました。

同じような話が数年前にもありました。サイエンスフィクションのサイトへのリンクをクリックすると、古い友人を装う誰かから E メールが届きました。 その日、500 に及ぶ数のマルウェアが私のラップトップにダウンロードされました。主に、アダルト画像や株価操作詐欺のアドウェアを画面いっぱいにポップアップさせるものでした。 私は、数時間を費やしてこれらのアドウェアをクリーンアップし、同僚たちはかなり長い間私を笑いのネタにしていました。 

どちらの場合も、私は勤務先の企業でセキュリティトレーニングを受けていませんでした。セキュリティの記事を書くライターとして、その必要性をよくわかっていたにもかかわらずです。 会社はセキュリティを意識していて、攻撃が広まり始めるとセキュリティについて警告していましたが、それでも基本的なベストプラクティスに関する講習はありませんでした。

Akamai に入社したその日、ほぼ 1 時間にわたるオリエンテーションはこの問題に向けられていました。 私は長年にわたって何度も社員へのセキュリティトレーニングの重要性について書いてきましたが、実際にトレーニングを受けたのはこれが初めてでした。

ビジネスの世界におけるセキュリティトレーニングには、1 つの方法を汎用的に使用するという考え方は適していません。 会社が違えばニーズも異なり、Akamai も例外ではありません。 ここでは説明しませんが、トレーニングでは個別の具体的な問題に対処しました。 しかし、その手順の多くはかなり基本的で、会社や業界を問わず適用できるものです。 

次に例を示します。 

友人や家族と通信する際には自分で選んだ IM アプリケーションを使用してもかまわないことになっています。 しかし、社内の仕事関連の通信では、別の特定の IM ツールを使用する必要があります。保護機能が追加されたツールです。 

日頃からさまざまなプログラムのセキュリティパッチが提供されています。そのため、ときどき画面にボックスが表示され、ボタンを押して最新のアップデートをインストールするように求められることがあります。 トレーニングセッションでは、そうしたアップデートの求めに応じる際には慎重に慎重を重ねる必要があることが強調されました。 また、信頼できるソースから更新しようとしていることを確認するようにとも伝えられました。 つまり、画面のポップアップには危険なものがあるためです。

コンピュータから離れる場合は、他の人がデータやアプリケーションにアクセスできないように、画面をロックする必要があります。 入社 2 日目に、私はマシンでアプリケーションをいくつか実行したまま席を離れ、その後戻ってきたらモニターに付箋が貼られていることに気づきました。そこには、「必ずスクリーンセーバーにすること」と書いてありました。

付箋紙と言うと、他にも指示を受けたことがあります。パスワードやその他の認証データを付箋紙に書いて周囲に貼っておいてはいけないというものです。

社員バッジのない第三者が社の建物やその他の保安区域に入ろうとするところを見たら、その人物を自分自身か会社の保安担当者、または認証ツール(同僚や社員名簿など)のいずれかで正しく識別する責任があります。 

Akamai のプログラムにはさらに詳細な事項が数多くありますが、いずれも基本事項の好例であり、導入すれば他社も恩恵が得られるはずです。