サイバーセキュリティ意識はエンドユーザトレーニングに代わるものではない【メールセキュリティ】

2019.10.07

2019年10月4日、Mike Vizard

米国DHS（国土安全保障省）は10月をNCSAM（National CyberSecurity Awareness Month）と指定しています。基本的に、DHSは、第2次世界大戦のLoose Lips Sinks Shipsプロパガンダを思い起こす方法によって、消費者と企業の両方のサイバーセキュリティ意識を向上する取り組みを行っています。

サイバーセキュリティプロフェッショナルは、このような取り組みにやや懐疑的になりがちです。結局は、かつてないほど多くのデータ侵害が実行されているだけでなく、エンドユーザが攻撃の正確な範囲を意識することに抵抗しており、行動を変えようとしていないと思われるためです。たとえば、ドキュメントの保護と破棄のサービスプロバイダである Shred-IT が Ponemon Instituteと共同で650人のマネージャを対象に実施した調査が今週、公表されましたが、その結果によると、全体の54%は勤務中にフィッシングメールまたはソーシャルエンジニアリング攻撃を受けたことがある一方、上司に連絡したことがあるマネージャは全体のわずか39%です。

この調査によると、全体の4分の3以上（77%）が機密情報を含むメールを誤送信したことがあり、88%は機密情報を含む誤送信されたメールを社内または社外から受信したことがあります。

Sapio Research と Forrester Consulting が DLP（データ損失防止）プラットフォームプロバイダであるCode向けに1,028人のサイバーセキュリティリーダーと615人の CEO（最高経営責任者）を対象に実施した調査が今週、公表されましたが、その結果によると、CEOもセキュリティ意識の不足に影響されており、この結果はいら立ちを感じるものです。サイバーセキュリティリーダーの4分の3以上（78%）と CEOの65%が悪意のあるリンクをクリックしたことがあると回答しています。

この調査によると、企業が過去18か月間で受けたデータ侵害の半数は従業員によるものですが、この結果は意外ではありません。

セキュリティ侵害がトップニュースになっているにもかかわらず、エンドユーザは直面しているリスクを意識しているとは言いがたいです。たとえば、怠慢と倦怠を繰り返していても、悪意のない行動をとっていると思われるエンドユーザが、地球の反対側のサイバー犯罪者に突然、自社のすべてのファイルを暗号化され、復号化鍵と引き換えに数千ドルを要求されることになるだけです。

ほとんどのエンドユーザは、このような攻撃を受けたことがある他のエンドユーザをすでに知っているため、サイバーセキュリティ意識は主要な問題ではなくなっていると思われます。現在は、トレーニングに正面から取り組む必要があります。結局は、フィッシング攻撃を検出するようにエンドユーザをトレーニングしないと、世界中のサイバーセキュリティ問題に関するすべての意識は向上しない可能性が高いです。サイバーセキュリティを話題にしても、潜在的な脅威を検出しやすくするフィッシングシミュレーショントレーニングと同じ結果は、まったく得られません。

もちろん、時間がかかるトレーニングは、どのようなものであれ、常に抵抗を受けます。NCSAMの利点は、このような抵抗を軽減するために役立つということです。最終結果がどのようなものであれ、明らかなことは、サイバーセキュリティ意識とエンドユーザトレーニングの間には雲泥の差があるということです。