サイバー攻撃に対する最善の防御策は、技術的なサイバーセキュリティソリューションではなく、人的要素の強化であると、サイバーセキュリティのベテランで著者、KnowBe4のチーフエバンジェリスト兼セキュリティ責任者のペリー・カーペンター氏は述べた。
Verizonの2022年ビジネスデータ侵害調査レポートによると、人的要因が侵害の要因として依然として大きく、攻撃全体の82%を占めています。また、攻撃はより凶暴化しており、ランサムウェアは24ヶ月で13%増加し、過去5年間の合計を上回る増加率となっています。
「ますますデジタル化された世界へと向かう中で、効果的な技術ソリューション、強固なセキュリティフレームワーク、そして教育への重点的な取り組みは、企業の安全確保と顧客の保護に重要な役割を果たすだろう」とベライゾンのハンス・ヴェストベリCEO兼会長は述べた。
ベライゾンの報告書は、人的影響のコストを明らかにしている。「組織のサイバーセキュリティ防御において、人的影響は依然として圧倒的に最も脆弱な要素である」と同社は述べている。
セキュリティ意識向上トレーニングとフィッシングシミュレーションプラットフォームを提供するKnowBe4は、ITおよび情報セキュリティ担当者がセキュリティにおける人的要素を向上させるためのリソースキットを最近リリースしました。KnowBe4によると、IT担当者はセキュリティ意識向上プログラムの作成において依然として課題を抱えています。
カーペンター氏はTechRepublicの取材に対し、過去数年間に学んだ人的セキュリティに関する教訓を共有した。サイバーセキュリティに関する統計データの増加は大きな懸念事項だが、企業はその先を見据えるべきだと彼は警告している。
「残念ながら、サイバーセキュリティの脅威について知るだけでは、戦いの半分にしか過ぎません。それらに対処すること、そしてさらに重要なのは、それらを防ぐために行動を起こすことこそ、本当に時間を費やすべき点です」とカーペンター氏は述べた。彼は、セキュリティ意識向上に取り組んでいる人々でさえ、致命的な欠陥、つまり「知識・意図・行動のギャップ」に苦しんでいると説明した。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
知識・意図・行動のギャップ
「チームメンバーが何かを認識しているからといって、必ずしも気にするとは限りません」とカーペンター氏は述べた。企業が全従業員向けに強力なサイバーセキュリティ意識向上プログラムの構築に投資しているにもかかわらず、侵害が増加の一途を辿るのは、知識・意図・行動のギャップによるものだ。
カーペンター氏によると、従業員は脅威やリスク、その仕組み、回避するには何をする必要があるかを認識しているにもかかわらず、会社の安全を守るために必要な措置を講じていない可能性があるという。
この状況を好転させるには、企業は知識と意図のギャップを埋め、従業員の正しい行動を促す必要があります。そのためには、高度な技術を持つサイバーセキュリティ業界が苦労しているアプローチ、つまり人間の性質に配慮したアプローチが必要です。
人間の本質に働きかける
効果的なサイバーセキュリティプログラムは、サイバー犯罪組織が人間の本性を利用することに長けているため、人間の本性に働きかけます。リーダーたちは、従業員が十分な情報を得ているにもかかわらず、なぜあらゆる種類の詐欺やフィッシング攻撃に騙されてしまうのかと自問するかもしれません。
カーペンター氏によると、その答えは従業員の賢さとは全く関係がない。システム侵入に最も効果的な手法は、高度なマルウェアではなく、人間の感情を巧みに操ることにある。攻撃者は、人間の持つ自然な好奇心、衝動性、野心、そして共感を悪用しているのだ。
もう一つの方法は、無料で何かを提供するという古くからあるマーケティング手法です。クリックベイト型の大量広告キャンペーンは非常に効果的であり、サイバー犯罪者にとってはマルウェアやランサムウェアをダウンロードするための入り口となります。彼らは、一見無害で魅力的なオファーに人間が抵抗するのは非常に難しいことを熟知しており、現金、投資機会、あるいは無料の洗車などを約束します。
もう一つのトレンドは、人間の共感を悪用するものです。2020年には、FBIがCOVID-19に関連した新たな詐欺スキームについて警告を発し、2022年5月には、FBIのインターネット犯罪苦情センターIC3が、詐欺師がウクライナの団体を装って寄付を募っていると警告しました。犯罪者は、人道危機や自然災害後の出来事を悪用し、ソーシャルエンジニアリング攻撃を仕掛けるために、手段を選ばないでしょう。
サイバー犯罪者は、ソーシャルメディアやオンラインサイトを通じて入手した従業員情報を用いて、高度にパーソナライズされた攻撃を仕掛けています。さらに、雇用主がマネージャー、人事部、あるいはCEOに連絡してくることを知っている彼らは、その関係性を利用して組織内の有力者になりすまします。「彼らはCEOからの偽のメッセージを送信し、偽の仕入先口座への送金指示や、従業員を他の不正なビジネスメール詐欺(BEC)スキームに誘い込む指示を出します」とカーペンター氏は述べています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
コミュニケーション、行動、文化管理
カーペンター氏は、企業は従業員に対して次の 3 つの分野で継続的なセキュリティ トレーニングを提供する必要があると説明しました。
- コミュニケーション
- 行動
- 文化管理
彼は、リーダーが各セクションのレッスンを構築するために使用できる重要なポイントを TechRepublic と共有しました。
コミュニケーションレッスン
- 視聴者を理解し、彼らが何を重視しているかを理解しましょう。
- 人々の注目を集め、感情に訴えかけることで、説得力のあるメッセージを作りましょう。事実を伝えるだけでなく、ストーリーや事例を使って共感を呼びましょう。
- 明確な行動喚起を用意し、チームに何をする必要があるかを具体的に伝えます。
行動レッスン
- 知識・意図・行動のギャップは、あなたが奨励したい、あるいは抑制したい行動に影響を与える現実として認識しましょう。チームメンバーは必要な知識と最善の意図を持っているかもしれませんが、あなたの目標は最終的に彼らの行動に影響を与えることです。
- 人間は合理的ではありません。行動をより容易にし、より自然に感じさせるようなヒント、ツール、プロセスで、彼らをサポートする必要があります。
- ツールとトレーニングは、行動のできるだけ近くに配置します。
文化管理の教訓
- 文化測定調査、フォーカス グループ、観察などを使用して、現在の文化を理解します。
- チーム全体に示してほしい考え方や行動をサポートできる能力と権限を持つ、潜在的な「文化の担い手」を特定します。
- 継続的かつさまざまなグループ間の固有の違いに対応する構造、プレッシャー、報酬、儀式を設計します。
EPMとフィッシングシミュレーション
2021年、IBMはエンドポイント攻撃の平均コストが427万ドルであると発表しました。ハイブリッドワークモデルが標準化し、企業ネットワークの外部に数百万台の新しいデバイスが接続されることで攻撃対象領域が拡大するにつれ、エンドポイント権限管理(EPM)やフィッシングシミュレーションなどのサイバーセキュリティソリューションは、セキュリティギャップへの対応を強化するために進化しています。
アクセンチュアは最近、EPM(エンタープライズ・マネジメント・マネジメント)を活用することで、ユーザーがセキュリティ侵害のリスクを負うことなく、効率的かつ安全に業務を遂行できる点を強調しました。EPMはエンドポイントに最小限の権限を付与することで、ユーザーベースから管理者権限を取り除き、実行を許可するアプリを制御します。「検証済みで信頼できるアプリケーションのみが実行を許可され、その権限は可能な限り最小限に抑えられます」とアクセンチュアは説明しています。
人的要素の脆弱性を特定し、そのギャップを補いながらユーザー教育を行うために、ますます重要になっているもう一つのセキュリティツールがフィッシングシミュレーションです。ITチームはフィッシングシミュレーションでフィッシングキャンペーンをシミュレートし、従業員の対応を視覚化します。これにより、チームはセキュリティ体制をテストし、弱点を特定し、シミュレーションから学ぶことができます。
「変革的な成果を達成したとしても、旅は決して終わりません。悪意のある者は、私たちの最善の努力を妨害する革新的な方法を見つけ続けるでしょう。私たちは常に適応し、継続的な改善のプロセスにコミットし続ける必要があります」とカーペンター氏は述べた。
