2021年2月5日
※For the English version, please refer to here.

コロナ禍でフィッシングや標的型攻撃など、メールを利用して、受信者を起点に侵害をしようとする攻撃が増えています。攻撃が比較的容易なうえ、セキュリティ対策が疎かになりがちな「人」を対象とした攻撃であるため、組織はこれを大きな脅威として認識する必要があると思います。

このような、人を狙った攻撃への対策としてセキュリティアウェアネス（Security Awareness）というものがあります。

今回はセキュリティアウェアネスとは何かをNIST SP 800-16 Information Technology Security Training Requirements: a Role- and Performance-Based Model（以下、NIST SP 800-16）[1]とNIST SP 800-50 Building an Information Technology Security Awareness and Training Program（以下、NIST SP 800-50）[2][3]から説明したいと思います。

セキュリティアウェアネスとは何か

セキュリティアウェアネスの定義をNIST SP 800-16より引用します。

Awareness is not training. The purpose of awareness presentations is simply to focus attention on security. Awareness presentations are intended to allow individuals to recognize IT security concerns and respond accordingly.

理解のために、IPAが公開しているセキュリティ関連NIST文書の日本語訳の中でSP 800-16と関連の深いNIST SP800-50より引用します。

意識向上はトレーニングではない。意識向上を掲げる目的は、単純にセキュリティへ意識を向けることである。意識向上は、各自が IT セキュリティの問題を認識し、適切な対応を行うことを意図したものである。

引用にある通り、セキュリティアウェアネスとは人がなんらかのITシステムを利用するときに、セキュリティ上のリスクの理解や問題が発生したときの正しい対処を"意識"させるものだと解釈できます。

言葉のニュアンスが難しいところではありますが、あくまで"意識"させるものであり、”できるようにすること”を主眼とするものではないというところがポイントだと考えています。アウェアネスは日本語訳では意識向上と訳されており、具体的なアウェアネスの取り組みとしてはポスターやチラシなどが挙げられています。このことからもあくまで意識付けの意味合いだということがわかるかと思います。

アウェアネスについて「意識付けだけでは対策として不十分ではないか」という意見があるかと思います。実際に"できる"ようにすることにはトレーニングが当てはまります。
NIST SP 800-16、およびNIST SP 800-50ではアウェアネスとトレーニング、教育の関係性について示されています。

トレーニングの定義をより簡潔にまとめているNIST SP 800-50より引用します。

Training strives to produce relevant and needed security skills and competencies.
トレーニングでは、関連性のある必要なセキュリティスキルおよび能力を生み出すように努める。

引用にある通り、トレーニングとは人に必要なスキルを習得させるように仕向けるものだと解釈できます。そのため、例えば従業員が標的型攻撃メール等に適切に対処できるようになってほしい場合はそのためのトレーニングを受けさせれば良いということになります。

アウェアネスとITセキュリティリテラシー

ここで、アウェアネスとITセキュリティリテラシーは何が違うのかという疑問があるかと思います。
ITセキュリティリテラシーについて、NIST SP800-16より引用します。

IT Security literacy refers to an individual's familiarity with—and ability to apply—a core knowledge set (i.e., "IT security basics ") needed to protect electronic information and systems.
（筆者訳）：ITセキュリティリテラシーとは情報とシステムを守るのに必要となるコアな知識体系（つまりITセキュリティの基本）を理解していて、それを実践できること。

アウェアネスはセキュリティの体系的な知識の理解と実践ができることを目指しているわけではなく、業務上のどういう場面でセキュリティのリスクの問題があり、そこでどういう対処が適切なのかを意識させることだと考えています。

ITセキュリティリテラシーは基本的な情報セキュリティの体系的な知識の習得ということなので、ITセキュリティリテラシーができているイメージとしては「基本的なセキュリティの教科書をやったから基本はおさえているよ」というのが近いと思います。

セキュリティアウェアネストレーニング

アウェアネスとトレーニングは異なるという話をしました。
しかし、セキュリティアウェアネスというキーワードでWeb検索すると、様々な企業がセキュリティアウェアネストレーニングという名前で有償のトレーニングを提供していることがわかります。アウェアネスとトレーニングは違うもののはずですが、セキュリティアウェアネストレーニングとは何でしょうか。

ここで、2019年に撤回されている資料（Retired Draft）のため参考情報となりますがNIST SP 800-16 Rev.1 A Role-Based Model for Federal Information Technology/Cybersecurity Training（3rd Draft）（以下、NIST SP 800-16RD）[4]よりアウェアネストレーニング（Awareness Training）の定義を引用します。なお、NIST SP 800-16RDではAwareness Trainingとは別にAwarenessとTrainingが定義されているため、AwarenessとTrainingという2つの用語を並べているというよりは、Awareness Trainingで一つの用語だと考えたほうが良いと思います。

Awareness Training – consists of instructor led, on-line courses, exercises or other methods that inform users of acceptable use of and risk to the organization’s organizations systems.
（筆者訳）：意識向上トレーニング -インストラクター付きのオンラインのコースやエクササイズなどの方法で行われるトレーニングです。トレーニングでは組織のシステムで許容される操作とリスクについて示されます。

NIST SP 800-16RDはNIST SP 800-16を置き換える予定だった文書です。NIST SP 800-16は発行日が1998年であり今から20年以上前のものです。このことから一時はNIST SP 800-16の内容は現在の社会の状態に照らし合わせるとそぐわないと考えられていたと思います。

NIST SP 800-16が公開された当時としてはそれほどITシステムの利用者全員にセキュリティのトレーニングを強制するほどの社会状況ではなく、意識向上の取り組みだけで済んでいたのだと思います。しかし、昨今のフィッシングや標的型攻撃メール、ソーシャルエンジニアリングなど、当時に比べて社会の状況は劇的に変化しています。これまでは意識付けだけで済ませていた内容について、スキルとして習得してもらう必要性が出てきたのだと考えています。そのため、それを表すための用語としてアウェアネストレーニングが定義されたのだと思います。

そして、このアウェアネストレーニングがセキュリティアウェアネストレーニングという名前で有償で企業から提供されているということではないかと思います。

まとめ

ここで、アウェアネスとITセキュリティリテラシーとトレーニングについて、交差点を渡るということを例にそれぞれがどう機能するかを示して、違いをまとめます。

アウェアネス：青信号の交差点を渡っていても、右折してくる車はあるかもしれないという事を知っていて、「気を付けなきゃ」と思える（そういうセンスをトレーニングするのがアウェアネストレーニング）

ITセキュリティリテラシー：具体的な確認の仕方、右見て左見て、もう一度右を見るという事を知っている

トレーニング：実際に交差点を渡る場面で、右見て左見て右を見ることができる（セキュリティ）スキルを習得させる

このように自分なりに例に当てはめてみると違いが理解しやすくなると思います。

最後に、巧妙な手口と呼ばれるサイバー攻撃は人を起点にしているケースが多いのではないかと感じています。人はどうしてもミスをする可能性があるため、組織の最も脆弱な部分になってしまうことが多いです。

現状、人を起点にしたサイバー攻撃は増加しており、今後セキュリティアウェアネストレーニングがより求められることになるのではないかと感じています。技術で組織を守れる範囲は今後より広がるだろうとも考えられますが、どうしても人がケアしなければならない領域は残ると思います。ITの発展に合わせて技術だけでなく、人もセキュリティのレベルを上げていくことができれば社会はより安定して発展するだろうと思います。

本ブログが少しでもみなさんの役に立ち、安全・安心な社会に少しでも寄与することを願っています。

参考資料

What is Security Awareness?

Here is the quote of the definition of Security Awareness from NIST SP 800-16.
"Awareness is not training. The purpose of awareness presentations is simply to focus attention on security. Awareness presentations are intended to allow individuals to recognize IT security concerns and respond accordingly."

For your better understanding, here is the other quote from NIST SP800-50, which is closely related to SP 800-16 (translated in Japanese by IPA).
『意識向上はトレーニングではない。意識向上を掲げる目的は、単純にセキュリティへ意識を向けることである。意識向上は、各自が IT セキュリティの問題を認識し、適切な対応を行うことを意図したものである。』

As stated in the quote, security awareness can be interpreted as a way to make people "aware" of security risks when they use some IT systems and help them aware of the right actions when problems occur.

Note:
Based on the content and context of NIST SP 800-16, Awareness in the quote to be synonymous with Security Awareness.
Note:
From now on, simply refer to security awareness to awareness.

The nuance of the word is complicated (for Japanese people) to understand, but I think the point is that it is about making people "aware", not about making them "able". Awareness has been translated as "意識向上(ishiki-kojo : raising awareness)" in Japanese, and specific awareness initiatives include posters and fliers. This word shows that it is only meant to be raising awareness. (note: On the contrary, it may sound complicated if you are a non-Japanese speaker.)

Some might say that awareness alone is insufficient as a countermeasure; however, it is the training you need to actually be able to "do" something.

The relationship between awareness, training, and education is shown in NIST SP 800-16 and NIST SP 800-50.
"Training strives to produce relevant and needed security skills and competencies."
This is the quote from NIST SP 800-50, which provides a more concise definition of training.

As stated in the quote, training makes people learn and master the necessary skills. If you want your employees to be able to respond appropriately to targeted attacks using e-mail, you can train them to do so.

Awareness and IT Security Literacy

You may wonder what the difference is between Awareness and IT security literacy.
The quote from NIST SP800-16 on IT security literacy,
"IT Security literacy refers to an individual's familiarity with-and ability to apply-a core knowledge set (i.e., "IT security basics") needed to protect electronic information and systems. "
(Author's translation)
『ITセキュリティリテラシーとは情報とシステムを守るのに必要となるコアな知識体系(つまりITセキュリティの基本)を理解していて、それを実践できること。』

Awareness is not about understanding and practicing systematic knowledge of security, but rather making people aware of what kind of security risk issues exist in their business and what kind of countermeasures are appropriate.

IT security literacy is the acquisition of systematic knowledge of basic information security, so the image of being IT security literate is more like, "I've done the basic security textbooks, so I know the basics.

Security Awareness Training

Now we can see how awareness and training are different.
However, if you search for the keyword "security awareness" on the internet, you will find that various companies offer paid training under the name "security awareness training". Awareness and training are supposed to be different, but then, what is security awareness training?

Here is the definition of Awareness Training from NIST SP 800-16 Rev.1 A Role-Based Model for Federal Information Technology/Cybersecurity Training (3rd Draft) (NIST SP 800-16RD) [4], which is for reference only as it is a Retired Draft that was withdrawn in 2019. Training (3rd Draft) (hereinafter referred to as NIST SP 800-16RD)[4]. Since NIST SP 800-16RD defines Awareness and Training separately from Awareness Training, it is better to think of Awareness Training as a single term rather than two terms side by side.
"Awareness Training - consists of instructor-led, on-line courses, exercises or other methods that inform users of the acceptable use of and risk to the organization's organizations systems. "
(Author's translation)
『意識向上トレーニング -インストラクター付きのオンラインのコースやエクササイズなどの方法で行われるトレーニングです。トレーニングでは組織のシステムで許容される操作とリスクについて示されます。』

NIST SP 800-16RD is the document that was supposed to replace NIST SP 800-16, which was published in 1998, more than 20 years ago. Because of that, it seems the content of NIST SP 800-16 was considered inappropriate for the current state of society at one point.
When NIST SP 800-16 was published, it was probably not necessary to force all IT systems users to take security training, considering the social situation, and it might have been good enough just to raise awareness back then. However, social status has been changed dramatically since then with the recent phishing, targeted attack e-mails, and social engineering. I believe that there is now a need for people to acquire as one of the skills they had previously only promoted to raise awareness. Therefore, awareness training has been defined as a term to describe it.

And this is why companies are offering this awareness training under the name of "Security Awareness Training."

summary

I would like to add some examples of crossing an intersection to help you understand the differences between Awareness and IT security literacy and training and how each works.

Awareness: You know there is a possibility that there could be a car coming around the corner when you are crossing an intersection with a green light and being able to think, "Yes, it is a green light, but I still have to be careful." (Awareness training is to train such a sense.)

IT security literacy: You know how to check to walk across the street safely, such as looking right, left, and right again.

Training: You will learn how to walk across the street safely with the skill of looking right, left, and right, and you will be able to do it in actual crossing situations.

I hope this example makes it easier for you to understand the difference.

Lastly, I feel that cyber-attacks as tricky schemes target people as a starting point in many cases. People often could be the most vulnerable part of an organization because they inevitably have the potential to make mistakes.

Currently, cyber-attacks that originate from people have been increasing, and I think that security awareness training will be required more. Technology will cover even more to secure organization, but still, there will be an area remained people must take care of. Our society will be more stable and developed if we can raise the security level not only for technology but also for people, such as security awareness, in line with IT developments accordingly.

I hope this blog will be useful to you and contribute to a safe and secure society, even if only a little.

reference data

執筆者の他の記事を読む