セキュリティ

フィッシング詐欺、従業員3人に1人が被害--継続的な意識向上トレーニングが対策の鍵

KnowBe4の調査で、従業員の3人に1人がフィッシング詐欺に遭う可能性が高いことが明らかになった。この調査では、継続的なセキュリティ意識向上トレーニングが有効であることが示されている。

 サイバーセキュリティトレーニングとフィッシングシミュレーションを手がけるKnowBe4の新しい調査で、トレーニングを受けていないユーザーの3人に1人が、フィッシング詐欺やソーシャルエンジニアリング詐欺に遭う可能性が高いことが明らかになった。

 このレポートでは、さまざまな業界の企業を分析し、KnowBe4が組織の「Phish-prone Percentage(PPP)」と呼ぶものを算出した。PPPは、そうした攻撃に対して無防備な従業員の割合を示す指標だ。平均的水準は31.4%だが、この数字は組織の規模や業界によって大きく異なり、大手(従業員数1000人以上)のエネルギー企業や電力会社では、半数の従業員がフィッシング攻撃やソーシャルエンジニアリング攻撃の被害に遭う可能性がある(図A)。

図A:組織の規模別で見る特にリスクの高い業界。KnowBe4による調査。提供:KnowBe4
図A:組織の規模別で見る特にリスクの高い業界。KnowBe4による調査。
提供:KnowBe4

 「非常に憂慮すべき状況だ。大半のデータ侵害はソーシャルエンジニアリングに起因するものであるため、企業は自社のリスクを監視する必要がある。このデータが示しているのは、セキュリティ意識向上トレーニングとシミュレートされたフィッシングテストの実施が、サイバー攻撃に対する保護の強化に有用であるということだ」。KnowBe4の最高経営責任者(CEO)のStu Sjouwerman氏はこのように述べた。

 KnowBe4のデータは、危険なほど高いPPPをトレーニングによって改善できることを示唆している。90日のトレーニング期間中に、KnowBe4がフィッシングとソーシャルエンジニアリングに関する別のテストを調査対象の2万3400の組織に実施したところ、平均PPPスコアが16.4%に下がったことを確認した。1年間の継続的なトレーニングの後では、この数字がわずか4.8%まで低下する(図B)。これは平均84%の改善に相当する、とレポートに記されている。

図B:KnowBe4がまとめた統計データ。1年間の継続的なフィッシング/ソーシャルエンジニアリングトレーニングと、さまざまな業界/規模の組織へのトレーニングの影響が分かる。提供:KnowBe4
図B:KnowBe4がまとめた統計データ。1年間の継続的なフィッシング/ソーシャルエンジニアリングトレーニングと、さまざまな業界/規模の組織へのトレーニングの影響が分かる。
提供:KnowBe4

 このデータはKnowBe4が提供するタイプのトレーニングが有効であることを示しているが、トレーニングだけで組織の変革を期待できるわけではない。そこで、KnowBe4はフィッシングやソーシャルエンジニアリングに対抗するための推奨事項をいくつか提示している。

 まず、経営陣は組織内で期待される行動の模範となる必要がある、とKnowBe4は述べた。Cレベル幹部は格好の標的であり、フィッシングやソーシャルエンジニアリングによるセキュリティ侵害の原因になることが多い。「経営陣は、全社的なセキュリティ意識向上の取り組みのあらゆる側面に積極的に参加するべきだ。これには、他の従業員に受講が求められるのと同じセキュリティ意識向上トレーニングへの参加も含まれる」(KnowBe4のレポート)

 また、フィッシング対策戦略の計画担当者が適切な人々と協力することも重要だ、とレポートで推奨されている。トレーニングへの画一的なアプローチは限定的になってしまう可能性があり、深い専門知識がないとトレーニングの効果が上がらなくなる。レポートには、「社内のトレーニング組織を活用してこのプログラムの開発を主導したくなるかもしれないが、それでは長期的に、オーディエンスのセキュリティに関する考えや行動を形成していくことができなくなる」と書かれている。

 KnowBe4はまた、サイバーセキュリティの改善に注力する組織は、マーケッターの視点で考えて、オフィス、電子メール、セキュリティ以外のトレーニングの中心にサイバーセキュリティを据えるように推奨している。従業員にセキュリティの重要性を頻繁に思い出させることで、セキュリティが仕事の忘れられない部分になる。

 KnowBe4によると、目標を定め、有意義なデータを収集し、そのデータを有用な指標に変換して、フィッシング攻撃をシミュレートし、トレーニングと社内テストの頻度を高めて、トレーニング効果の低下を防ぐことも不可欠だという。

提供:Vladimir Obradovic, Getty Images/iStockphoto
提供:Vladimir Obradovic, Getty Images/iStockphoto

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]