2024年6月6日 18:00
欧州のサイバーセキュリティのリーダー企業、Hornetsecurityグループ傘下のVade(本社:フランス・リール、読み方:ヴェイド、URL: https://www.vadesecure.com/ja/ )は、Hornetsecurityがこのたび、セキュリティトレーニングに関する調査結果「Company IT Security Awareness(企業のITセキュリティに対する認識)」を発表したことをお知らせします。本調査はHornetsecurityが2024年4月に実施し、IT部門の意思決定者をはじめとした世界中の業界プロフェッショナル144名から回答を得ています。調査結果は、Hornetsecurityが出展する情報セキュリティカンファレンス「Infosecurity Europe 2024」で発表されました。
主な調査結果としては、組織の4分の1(26%)がいまだエンドユーザーに対しトレーニングを行っていないとして、ITセキュリティのトレーニングが大幅に不足していることが明らかになりました。また、定期的なセキュリティテストの結果に基づいてレベルを調整するアダプティブトレーニングを提供している組織は13社中1社に満たない割合(8%)であることも浮き彫りになりました。サイバーセキュリティ上の脅威が急速に進化している昨今、悪意のある攻撃者は侵入し危害を加える新たな攻撃を常に考案しており、企業側の大きな懸念事項となっています。
・トレーニングへのエンゲージメントと効果
あらゆる企業のサイバーセキュリティ戦略で、最も考慮すべきなのは従業員です。サイバー攻撃の主流はフィッシング詐欺であり、人の信用に付け込みます。そのため、従業員には悪意のある振る舞いを見抜くスキル、理解力、自信を身につける必要があります。本調査では、回答者の約3分の1(31%)が、自社のトレーニングは充実していない、あるいはわずかに興味を持てる程度であると回答しており、トレーニングが大きく不足しているだけでなく、トレーニングの取り組みが効果的でないと受け止められていることが明らかになりました。
エンゲージメントレベルが低いにもかかわらず、組織の79%は自社のITセキュリティ意識向上トレーニングがサイバー脅威への対策として、ある程度効果的だと考えています。一方で、10社中4社近く(39%)は、実施しているトレーニングが昨今のAIを用いたサイバー攻撃への対策として不十分であると回答しています。AIが攻撃を加速させ規模を拡大させる現在、これは憂慮すべき状況です。
・インシデント後の適応と報告のギャップ
本調査では、4社中1社の組織がサイバーセキュリティの侵害やインシデントの被害を受けており、そのうちの23%が過去1年間に発生したものであることが明らかになりました。注目すべきは、これらの組織の94%がインシデント発生後にセキュリティ強化策を追加で導入したことです。こうした取り組みを行っているにもかかわらず、回答者の52%が、エンドユーザーは脅威であると特定されたメールの受信を報告せずに無視する、あるいは削除することが多く、38%はトレーニングの内容を忘れていることが浮き彫りになりました。これは、継続的で充実したトレーニングの強化が必要であることが示されています。
一方、本調査では従業員はトレーニング後に活かせる知識・手法を把握することに特に関心があることも明らかになりました。知識・手法を従業員に把握してもらうことは、従業員の記憶にとどまり、実践につながりやすいセキュリティ対策と考えられます。また、従業員がトレーニングで学んだことに従わず、IT部門に脅威を報告しない理由としては、28%がIT部門から従業員へのフィードバックが欠如しているからと回答しました。
・最新の状況に対応したトレーニングの必要性
IT部門の意思決定者の45%が、現在のトレーニングプログラムは一昔前のものであり、AIを用いた攻撃に対しては効果がないと考えています。意思決定者ではない回答者の39%も同様の意見を述べており、最新で包括的な内容のトレーニングが非常に重要であることが示されています。
Hornetsecurityで最高執行責任者(COO)を務めるダニエル・ブランク(Daniel Blank)は、次のように述べています。
「組織は、定期的に充実した内容かつ適応性のあるトレーニングを従業員に提供するだけでなく、これらのプログラムを最新かつ非常に高度なサイバー脅威に徹底的に対処できる内容にする必要があります。次世代ソリューションとしてHornetsecurityが開発したSecurity Awareness Serviceはこれを実現するもので、従業員ごとに適切な量のトレーニングを自動でカスタマイズして提供します。このソリューションがあれば、トレーニングの設定や実施でIT部門に負担をかけることなく、適切なレベルの継続的なトレーニングを従業員に提供できるようになります。」
また、ブランクは次のように強調しています。
「先を予測して行動を起こすことが重要であり、インシデントが発生してから強化するのではなく、攻撃を事前に察知して、堅牢なシステムとプロセスを導入する必要があります。そうすることで、時間、労力、コストを大幅に削減することができます。」
・サイバー保険と予防措置
調査対象となった組織の半数以上(56%)がサイバー保険に加入しており、サイバーインシデントに対する財務上の安全策への依存度が高まっていることを示しています。さらに組織の79%が、サイバーセキュリティのインシデント防止には、ITセキュリティのトレーニングプログラムが最も有益だと回答しており、92%はトレーニングによってエンドユーザーがメールだけでなく、さまざまなメディアにおけるセキュリティ上の脅威を発見できるようになったと認識しています。
ブランクは次のように述べています。
「Hornetsecurityが実施した今回の調査では、セキュリティトレーニングの有効性に関する認識と、現代のサイバー脅威、特に最近のAI主導型攻撃に対する実際の関連性や対応力との間に明らかな乖離があることが明らかになりました。従業員は技術的な防御力を強化し、人間のファイアウォールとして機能できるよう、継続的なトレーニングを受講する必要があります。トレーニングの効果を最大にするためには、継続的に行うことが不可欠です。最新のサイバーセキュリティ技術に投資することも重要ですが、長期間にわたって継続するセキュリティカルチャーを組織内に醸成することも重要で、これは人材への投資とも言えます。」
■Vadeについて
Vadeは、Hornetsecurityグループの一員であることを誇りに思います。Hornetsecurityは、世界中のあらゆる規模の企業や組織を支援する次世代のクラウドベースセキュリティ、コンプライアンス、バックアップ、セキュリティ意識向上ソリューションを提供する世界的なリーディングプロバイダーです。代表的な製品である365 Total Protectionは、市場で最も包括的なMicrosoft 365向けのクラウド・セキュリティ・ソリューションです。イノベーションと卓越したサイバーセキュリティを原動力にビジネスを運営しており、受賞歴のあるポートフォリオを通して、より安全なデジタルの未来と持続可能なセキュリティ文化を構築しています。
8,000社超のチャネルパートナーおよびマネージドサービスプロバイダーからなる国際販売ネットワークを通じて、30か国以上で事業を展開しています。プレミアムサービスは5万人以上の顧客に利用されています。詳細は https://www.hornetsecurity.com/us/ をご覧ください。