SSTバックヤード

SSTのサービスや業務など、さまざまな裏側をメンバーよりお届けする社員ブログです。

社内向けのセキュリティニュースを始めてみました!

どうも!脆弱性診断員の西尾です!
今回は技術的な話ではなく、私が社内で行っている企画、その名も
「月例!西尾のセキュリティニュース」について紹介します!

f:id:swime:20211214175200p:plain

西尾のセキュリティニュースとは

私(西尾)が気になったセキュリティニュースや、セキュリティベンダーなどが公開しているホワイトペーパーを紹介する企画です。
内容は国内外のセキュリティ動向がメインで、流行しているサイバー攻撃や話題になっているセキュリティインシデントなどについて解説しています。
企画概要は下記の通りです。

【企画概要】

  • 月に1回のペースで実施する
  • スライドを作成し、プレゼン形式で発表する
  • 発表時間は30分~1時間
  • ピックアップするテーマは西尾の独断と偏見で選ぶ
  • 参加者は全社員が対象で、興味のある人に気軽に聞いてもらう
    ※ただし、ターゲットは非エンジニアを想定

2021年5月に初回の放送を行い、12月までに計7回実施しています。(10月以外は毎月開催)

セキュリティニュースを始めた背景と目的

セキュリティニュースを始めた理由は色々とあるのですが、主な理由は以下の通りです。

【セキュリティニュースを始めた理由】

  • 昔から定期的にセキュリティベンダーなどのホワイトペーパーを読んでいたが、特にアウトプットはしておらず、もったいないと感じていた
  • Slackで資料やサイトのリンクを共有していたが、ほとんど読む人はいないだろうなぁ…と感じていた
    ※そもそも文量が多く、さらに英語の情報も多いため読むハードルが高い
  • 営業等で活用できそうな情報もありそうと思ったので、非エンジニアでも分かるように情報共有したかった

自分が収集した情報を良い感じにアウトプットできていなくて、モヤモヤしていたことが大きな要因かなぁと思います。

また、セキュリティニュースの目的は、
「最新のセキュリティ動向をキャッチアップすること」「非エンジニアも含めた社内全体のセキュリティ知識の底上げ」
の2点です。

弊社はWebセキュリティの専門企業であるので、最新のセキュリティ動向については常に把握しておくべきだろうという個人的な思いがあります。
しかし、弊社のエンジニアは各自で情報収集している人は多くても、積極的にアウトプットしている人は少ないように感じています。特に非エンジニア向けに情報をかみ砕いて説明している人はあまりいません。

そこで、「非エンジニアでも理解できる最新のセキュリティ動向」を発信することによって、社内全体でセキュリティ動向の把握、かつセキュリティ知識の底上げをしようと思いました。

さらに上記の理由に加え、以下のような自分に対するメリットも多くあったため、『とりあえずやってみよう!』と、勢いで企画をスタートしました。

【自分に対するメリット】

  • アウトプットすることで内容が整理されて理解度が増し、記憶に定着する
  • 人前で話すことに慣れる
  • 資料作成・プレゼン力の向上
  • 真剣にホワイトペーパーを読むモチベーションが上がる
    ※特にページ数の多い英語レポートは中々読む気力が湧かないので重要!

最後に、セキュリティニュースを始めたきっかけはもう一つあって、それは「セキュリティのアレ」です。
セキュリティ界隈の人ならご存知の方も多いと思いますが、「セキュリティのアレ」とは、セキュリティリサーチャーで有名なお三方が、最近のセキュリティインシデントなどについて分かりやすく解説してくれているポッドキャストです。

私はよく仕事中にこのポッドキャストを聴いているのですが、国内外で話題になっている最新のセキュリティインシデントやサイバー攻撃の動向について詳しく、かつ分かりやすく解説してくださっているので、非常に勉強になります。

その影響もあって、自分も似たようなことを社内向けにやろうと思いました。
ただし、自分の場合はトーク力に全く自信がないので、資料を作ってのプレゼン形式ですが…。笑

最新のセキュリティ動向について興味のある方はぜひ「セキュリティのアレ」を聴いてみてください。

工夫している点

話を戻して…次にセキュリティニュースを実施する際に、工夫している・気をつけていることを3点紹介します。

1点目は、非エンジニアでも理解できる内容にすることです。
「セキュリティニュースを始めた背景と目的」でも述べたのですが、セキュリティニュースは「非エンジニアも含めた社内全体のセキュリティ知識の底上げ」を目指しています。
そのため、ニュースの聞き手は非エンジニアを想定しており、できるだけ技術的な話は入れないようにし、さらに専門用語の解説をするようにしています。

用語解説の例

ただし、聞き手にはもちろんエンジニアも含まれているため、『エンジニアならもうちょっと深いところが気になるだろうな…』という箇所がある場合は、コードの簡単な解説などを入れることがあります。


2点目は、発表内容を録画し、全社員がアクセス可能な場所に録画と資料(スライド)を置いておくことです。
自分も含め、別の業務で資料の内容が参考になる場合があるので、全社員が後から見返せるような状態にしています。
そのため、資料の内容はできるだけ「読んだだけで理解できる内容」を心掛けています。
また、発表当日に参加できなかったり、文章を読むよりもラジオ感覚で聴きたいという人向けに録画も残しています。


3点目は、社内への注意喚起の内容も含めることです。
たとえばランサムウェアなど、弊社も攻撃を受ける可能性があるテーマを取り上げた場合は、注意喚起やその攻撃の対策について説明するようにしています。

Emotetの注意喚起の例

セキュリティ企業が被害を受けるわけにはいかないですからね。。こういった注意喚起は特に弊社では重要かなぁと考えています。

取り上げるテーマの例

次に、実際に取り上げたテーマの一例を紹介します。
こちらは2021年6月に実施したセキュリティニュースで、2021年5月にアメリカで発生したコロニアル・パイプライン社へのランサムウェア攻撃が話題になっていたため、ランサムウェア関連の3つのトピックスを解説しました。

2021年6月のトピックス

メイントピックはコロニアル・パイプライン社のランサムウェア被害についてで、そもそもランサムウェアとはなにか?から始まり、コロニアル・パイプライン社の被害状況と感染原因、その後の身代金についての対応と政府の対応を解説し、最後に攻撃グループと考えられているDarkSideについて紹介しました。

ランサムウェアについて簡単に説明しているスライド

被害状況についてのスライド

このニュースだけでは物足りないので、次にSophosが5/17に公開したThe State of Ransomware in Healthcare 2021 というレポートの内容をザックリと解説しました。
被害を受けた組織の割合や、支払った身代金の平均額などのデータが記載されていて興味深い内容だったため、トピックに加えました。

Sophosのレポートを紹介

最後はランサムウェアタスクフォース(RTF)が公開しているCombatting Ransomwareについて解説……するつもりでしたが、文量が多く、時間も足りなかったのでレポートの紹介だけにしました。(レポート内容の紹介はしていない)

ランサムウェアタスクフォースのレポートを紹介

ひと月の本業の合間に情報収集(レポートを読んだり)して資料作成までやらないといけないので、限界はありますね…。
ちなみにこのレポートを現時点でも読めていないことはここだけの話です(;'∀')笑

以上が2021年6月の実施例でした!

セキュリティニュースに対する社内の反応

では西尾が勢いで始めたセキュリティニュースについて、ほかの社員がどう思っているのか気になったので、参加者向けに匿名でも回答可能なアンケートを実施してみました!
ここでは9月のアンケート結果を紹介します。

まず発表内容についての満足度を5段階評価で回答してもらったところ、結果は下記のようになりました。
「満足した」が最高点の5、「やや満足した」が4になっています。

f:id:swime:20220118182112p:plain:w500
アンケート結果(満足度)

ありがたいことに「満足した」が最も多く、3以下(どちらでもない~満足しなかった)の回答はありませんでした!
基本的に私が興味を持った話題を紹介しているのですが、思った以上に興味を持って参加してくれている方が多くて嬉しいですね。
ちなみに別の月に同じアンケートを実施した際も、3以下(どちらでもない~満足しなかった)の回答はありませんでした。

次に、理解度についても同じく5段階評価で回答してもらったところ、結果は下記のようになりました。
「理解できた」が最高点の5、「やや理解できた」が4になっています。

f:id:swime:20220118182125p:plain:w500
アンケート結果(理解度)

こちらも3以下(どちらでもない~理解できなかった)の回答はなかったのですが、「やや理解できた」が42%もありました。
参加者は想定通り非エンジニアの方が多かったため、予備知識や専門用語の解説を入れながら説明したのですが、それでも完全に理解するのは難しい内容だったみたいです。
アンケート結果自体は悪くありませんが、もう少し解説をゆっくり丁寧にするなど、内容を改善していく必要がありそうです。

このほかにも以下のような感想をたくさん頂くことができました!

  • 「気軽にセキュリティニュースのまとめが聞けるので、非常に満足です!」
  • 「非エンジニアでも分かりやすかったです。」
  • 「注意喚起にもなってよかったです」
  • 「普段自分はセキュリティ関連のニュースを追えてないので、新鮮な情報が得られて助かってます。いつもありがとうございます!」
  • 「調査レポートやホワイトペーパーの類は、気にはなりつつもボリュームも大きくなかなか読めないですし、英語だとなおさらというのが正直なところなので、内容をかいつまんで紹介してくれて助かります。」

このような感想を頂けると、労力をかけてセキュリティニュースを実施した甲斐があって嬉しいですね。
「継続して欲しい!」という声も頂いているので、とりあえず自分が飽きるまではセキュリティニュースを続けていきたいと考えています。

最後に

今回は私が社内向けに実施している「月例!西尾のセキュリティニュース」について紹介しました。
最初は自分がアウトプットする場が欲しくて勢いで始めた企画でしたが、興味を持って参加していただける方が思った以上に多く、また好意的な感想も多く頂けたので実施して良かったなぁと思っています。

ただ、セキュリティニュースで発表した内容が何かの参考になることがあっても、直接業務に活用できた!みたいな話は聞いたことがないので、今後は実際に業務でも活用できる情報を発信できればなーと考えています。

みなさんも情報をインプットするだけではなく、勇気を持ってアウトプットすることにも挑戦してみてはいかがでしょうか。
アウトプットして自分が得られるものは大きいですし、思いがけないところで誰かの役に立つかもしれません。


以上、西尾がお送りしました!