1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. デジタルネイティブによるインサイダー脅威の軽減

Info.

お知らせ

海外ブログ

デジタルネイティブによるインサイダー脅威の軽減

デジタルネイティブによるインサイダー脅威の軽減 のページ写真 1

トピック: User Training and Security Awareness

2022年10月26日、Phil Muncaster

 

 企業のサイバーセキュリティにおいて、従業員が最大の弱点であるとよく言われます。しかし、特定のタイプの従業員が他の従業員よりも大きなインサイダー脅威となるかどうかについては、あまり議論されていないのが現状です。これは、収益に大きな影響を与える可能性があります。ある試算によると、インサイダーの脅威を是正するために、グローバル企業は昨年、平均1500万ドル以上のコストを要しています。

  EY の最新調査によると、サイバーセキュリティにあまり真剣に取り組んでいないのは、若い世代の働き手です。デジタルネイティブの行動を変え、情報に基づいた責任あるアプローチを奨励する方法を見つけることは、IT リーダーにとって簡単なことではありません。しかし、それは可能です。

EYの所見

 この調査は、米国の従業員1000人を対象に、セキュリティに対する意識と習慣について調査したものです。「Z世代」や「ミレニアル世代(Y世代)」と呼ばれる世代は、あまり意識が高くないようです。具体的には、次のようなことが明らかになりました。

  • Z 世代の約半数(48%)とミレニアル世代の 5 分の 2 (39%)は、仕事用のデバイスの保護よりも個人用デバイスのセキュリティのほうが重要であると認めています。
  • Z 世代(58%)と Y 世代(42%)は、X 世代(31%)とベビーブーマー世代(15%)よりも、IT の必須更新を可能な限り長く無視する傾向がある。
  • Z 世代(30%)と Y 世代(31%)は、X 世代(22%)とベビーブーマー世代(15%)よりも、仕事と個人のアカウントに同じパスワードを使用する傾向が強い。

 

 一見すると、この調査結果は直感に反しているように思われるでしょう。デジタルネイティブが技術に精通しているならば、サイバーリスクをよりよく理解し、セキュリティのベストプラクティスに従おうとするはずではないですか。なぜそうでないのか、その理由はこの調査では明らかにされていません。明らかになったのは、調査対象の従業員の大多数(83%)が、雇用主のサイバーセキュリティプロトコルを理解しているということです。つまり若い従業員は、意図的にプロトコルに従わないことを選択しているように見えるのです。

ハイブリッドで働くリスクの新時代

 このことは、Z 世代が社会に出て主要な労働力となるにつれて、IT およびセキュリティのリーダーにとってますます大きな課題となることでしょう。Z 世代は2025年には、労働者の4分の1以上(27%)を占めると予測されています。インターネットのない世界を知らずに育った最初の世代であるがゆえに、危険な行為がもたらす潜在的な影響について、より無関心になったということでしょうか。

 このことは、ハイブリッドな職場環境において、ますます大きな問題となります。

  • ハイブリッドな働き方では、リスクを取る自由度が高くなります。2021年のある調査によれば、多数の在宅ワーカーが会社のノートパソコンでゲームをしたり、オンラインショッピングをしたり、インターネットからダウンロードしたりするなど、個人的な用途に使っていました。
  • リモートワークをしている従業員は注意力が散漫になりがちです。その結果、フィッシングメールをうっかりクリックする可能性があります。
  • 個人所有のデバイスやホームネットワークは、企業のものほど保護されていない可能性があります。

 

まずはトレーニングから始める

 このような背景から、企業のサイバーセキュリティは、人を中心に設計される必要があります。つまり、暗号化や多要素認証、データ損失防止など、ユーザーがミスをする前提で、重要なデータやシステムを保護するためにコントロールする必要があるのです。また、パッチやリモートデバイス管理に関するポリシーをより積極的に実施し、かつてなく分散化した IT 環境全体における攻撃対象領域を縮小する必要があります。しかし、これはユーザーの意識向上トレーニングプログラムの見直しと更新も意味します。

 企業のサイバーセキュリティ戦略において、この重要な部分を評価する際には、以下の点を考慮してください。

  • 適切なツールを見つける:トレーニングソリューションは、高度にカスタマイズされた実環境のシミュレーションを提供する必要があります。フィッシングの手口は日々進化していますから、その進化に合わせて微調整のできるものがよいでしょう。また、ユーザーの行動に関する詳細な測定基準を提供し、従業員へのフィードバックやトレーニング方法の変更に利用できるとよいでしょう。
  • レッスンは短時間かつ簡潔に:退屈なレッスンを長時間、不定期に行うよりも、10~15分のインパクトのあるセッションを定期的に行うほうがよいでしょう。
  • 誰も排除しない:役員からパートタイマー、契約社員に至るまで、誰もが潜在的な脅威の媒介者となります。すべての人がトレーニングや意識向上プログラムに参加する必要があります。
  • 文化を作ることに焦点を当てる:脅威に対する認識を高めることと、インシデントの報告を促すように行動を変えることは、別の問題です。EYの調査によると、回答者の16%は、セキュリティ侵害の可能性がある場合、報告するよりも自分で対処しようとする傾向があることがわかりました。「報告しすぎている」という批判を受けたりせず、従業員が安心して報告できる環境が必要です。
  • プログラムの拡充を検討する:仕事とプライベートの境界線があいまいになりつつある今日、トレーニングと意識改革を両輪とする必要性が高まっています。社員の自宅をマイクロサテライトオフィスととらえましょう。
  • 2 人として同じ従業員はいない:人事部と協力して、行動や役割に応じてユーザーを個別のグループにプロファイリングすることを検討する価値はあるでしょう。そうすれば、トレーニングプログラムを個人により特化し適切なものにすることができます。

 

 人目を引く見出しとは裏腹に、ユーザーのセキュリティ意識は、Z および Y 世代だけの問題ではありません。EY によると、強力なパスワードの使用、業務用デバイスの最新状態の維持、フィッシングの特定、その他のベストプラクティスについて「非常に自信がある」と回答した人は、全体的に半数以下であることがわかりました。IT とセキュリティのリーダーは、人とプロセス、そしてテクノロジーに焦点を当てることによって初めて、インサイダーリスクをより適切に管理することができます。

 

セキュリティ啓発トレーニングでセキュリティの脅威に対抗しましょう

 

原文はこちら
Mitigating the insider threat from digital natives
October 26, 2022
https://blog.barracuda.com/2022/10/26/mitigating-the-insider-threat-from-digital-natives/

Related posts