セキュリティ向上に AI を活用する5つの方法:セキュリティ意識向上トレーニング
2024年6月14日、Christine Barry
人工知能(AI)は多くの分野に革命をもたらしました。これまで私たちはさまざまな角度から AI をみてきました。
現在のシリーズでは、AI がサイバー犯罪から世界を守る取り組みにどのように貢献しているかを探っています。これまで、脅威の検知とインテリジェンスとメールセキュリティについて取り上げてきました。今回は、AI がセキュリティ意識向上トレーニングにどのように活用されているかを見ていきます。
セキュリティ意識向上トレーニングとは?
脅威の主な標的は常に従業員です。フィッシング攻撃やその他のメールの脅威は、人的ミスを足がかりとして機密情報にアクセスします。様々な研究から、フィッシング攻撃がデータ漏えいやランサムウェア攻撃のかなりの割合を占めていることが明らかになっています。
- 一般的な組織では、日に5通の高度にパーソナライズされたスピアフィッシングメールを受信(バラクーダ調べ)
- 2022年には、4社に1社で少なくとも1つのメールアカウントが漏えい(バラクーダ調べ)
- サイバーセキュリティ侵害の95%はフィッシングなどのメールベースの脅威が主な要因(IBM調べ)
- データ漏えいの約36%にフィッシングが関与(ベライゾン調べ)
- データ漏えいの90%はヒューマンエラーに依存するフィッシング攻撃が原因(シスコ調べ)
時間枠や手法によって数字は異なりますが、調査からは以下の2点が明らかになっています。メールを使ったフィッシング攻撃はデータ漏えいの大きな要因であること、そしてフィッシング攻撃が成功するかどうかの決め手となるのは人的エラーであることです。セキュリティチームやビジネスマネジャーがメール攻撃の影響を十分に理解し始めたのは2010年代半ばで、この頃から自動化されたセキュリティ意識向上トレーニングの採用が増え始めました。
端的に言えば、セキュリティ意識向上トレーニングは、メールの脅威やその他の種類のサイバーセキュリティについて個人を教育するために設計された教育プログラムです。セキュリティ意識向上プログラムを適切に実施することで、従業員自身が強靭な第一線の防衛手段に生まれ変わります。
自動化されたAIによるトレーニング
テクノロジーとサイバーセキュリティにおける AI の利用は拡大しており、リアルタイム脅威シミュレーションや適応学習パスなどの機能が追加されたことで、セキュリティ意識向上トレーニングは大幅に改善されました。これらのシステムにおいて機械学習(ML)インテリジェンスが、最新の脅威インテリジェンスに基づいてトレーニング内容を継続的に更新するために使用されました。その結果、最新のメール攻撃に対応したトレーニング教材が提供されるようになりました。
初期のセキュリティトレーニングは自動化こそされていましたが、インテリジェントとは程遠かったといえます。ほとんどのプログラムに AI や ML が追加されるのはしばらくしてからのことですが、自動化されたことでトレーニングの効果は高まりました。自動化によって、プログラムの提供は一貫性を持ち、パーソナライズされたものになり、トレーニングの効果を実証できるレポート機能や分析機能が提供されるようになりました。
自動化された通常のセキュリティ意識向上トレーニングと AI を活用した自動セキュリティ意識向上トレーニングの違いを以下の表にまとめました。
| 特徴 | 自動化されたセキュリティ意識向上トレーニング | AIを活用した自動セキュリティ意識向上トレーニング |
| 事前定義されたコンテンツ | 基本的なセキュリティトピックを網羅した標準化されたトレーニング教材 | 個々の知識のギャップに合わせた適応型コンテンツ |
| セッションスケジュール | 事前にスケジュールされた時間に配信されるトレーニング・モジュール | ユーザーのパフォーマンスに基づいたリアルタイム適応トレーニング |
| インタラクティブな要素 | クイズ、ビデオ、インタラクティブなエクササイズ | ユーザーの行動と実績に基づいてパーソナライズされたインタラクティブ要素 |
| 進捗管理 | 完了率と実績を追跡 | 詳細な行動分析とリアルタイム適応 |
| 報告 | 修了証と評価結果の報告 | ユーザー行動とリスク予測に関する洞察を含む高度なレポート |
| 適応学習パス | 入手不可 | 成績に応じてパーソナライズされた学習パスを提供 |
| リアルタイム脅威シミュレーション | 入手不可 | 現在のトレンドに基づいたリアルタイムの脅威をシミュレート |
| 行動分析 | ユーザーの進捗状況の基本的な追跡 | ユーザーの行動を監視・分析し、的を絞って介入 |
| 継続的改善 | 事前定義されたスケジュールに基づく限定的な更新 | 最新の脅威インテリジェンスでコンテンツを継続的に更新 |
| 個別フィードバック | モジュールの成績に基づく一般的なフィードバック | 詳細にカスタマイズされたフィードバックと改善提案 |
サイバーセキュリティベンチャーズによると、2024年現在、セキュリティ意識向上トレーニングは広く採用されており、大企業の90%以上で定期的に利用されています。この数字は、現在60%強と測定されている中小企業の採用率をはるかに上回っています。AI を活用したセキュリティ意識向上トレーニングは、これまで以上に身近で手頃なものとなっているため、この格差は残念なことといえるでしょう。
バラクーダのセキュリティ入門トレーニング
Barracuda Email Protection には、メールの脅威を防御するためのセキュリティ意識向上トレーニングが含まれています。当社のプログラムは、AI テクノロジーを使用して、実際のフィッシング攻撃をシミュレートし、ユーザーの行動を分析し、パーソナライズされたその場でのトレーニングを提供しています。このトレーニングによりユーザーは最新の脅威にさらされることになり、その反応を測定した結果がカスタマイズされたトレーニングプログラムに反映されます。このアプローチにより、継続的かつ効果的なトレーニングが保証され、フィッシングやその他のメールベースの攻撃を認識し対応するユーザーの能力が強化されます。
新しい e-Book も
バラクーダはこのほど、「Securing tomorrow: CISO’s guide to the role of AI in cybersecurity(サイバーセキュリティにおけるAIの役割に関するCISOのガイド)」と題した e-Book を出しました。この e-Book では、セキュリティリスクを調査し、サイバー犯罪者が攻撃の規模を拡大し、成功率を向上させるために AI の助けを借りて悪用する脆弱性を明らかにしています。今すぐ e-Book の無料コピーを入手して、最新の脅威、データ、分析、ソリューションのすべてをご自身の目でお確かめください。
原文はこちら
5 ways AI is being used to improve security: Security awareness training
Jun. 14, 2024 Christine Barry
https://blog.barracuda.com/2024/06/14/5-ways-ai-is-being-used-to-improve-security–security-awareness-
