ほとんどの組織はメールセキュリティの脅威を懸念していますが、残念なことにその被害は増加の一途を辿っています。同時に、フィッシング攻撃の影響は、様々な形で発生しています。ロンドンに本社を置くメールセキュリティベンダーのEgress社が発表した最新のメールセキュリティリスクレポートは、フィッシング攻撃の余波の実態を分析し、フィッシング攻撃のビジネスに与える影響の重大さを次のように指摘しています。
過去12ヶ月間にフィッシング攻撃に見舞われた組織の86%が、ビジネスに実質的な何らかの影響を受けている
- 54%が競合他社への乗り換えなど顧客解約による売上損失を出している
- 47%が風評被害を経験している
- 30%が法的な罰則を受けている
また、同レポートによると、多階層のセキュリティ戦略を施しているにもかかわらず、55%の組織で極めて多くのフィッシング攻撃がセキュアメールゲートウェイをすり抜けていることが明らかされています。
さらに、Egress社は、「46%の組織では従業員の多くがセキュリティトレーニングを出来ればページを飛ばして早く切り上げたい」と答えていると、人的防御対策の柱である従業員へのセキュリティトレーニングの問題点を報告しています。この実態は、日本の企業や団体においても同様ではないかと考えられます。KnowBe4が昨年の12月に実施した日本市場におけるセキュリティ教育(セキュリティ意識向上トレーニング)の現状について日本企業・団体の実態調査によると、
日本市場では集合型のセキュリティ教育が主流で、セキュリティ意識向上トレーニングの普及において日本市場は遅れを取っているとKnowBe4 Japanは分析しています。この原因には、トレーニングコンテンツの質に問題があるのではないかと思われます。退屈なeラーニングのトレーニングコンテンツでは、従業員がページをスキップして終了と報告するのは当然ではないでしょうか。
また、Egress社のレポートによると、どの従業員がフィッシングに引っかかって最大のリスクをもたらすのかを把握するためのフィードバックループとして、フィッシングテストを採用する必要があると、トレーニングとフィッシングメールの模擬演習の組み合わせの必要性を指摘しています。
このデータが意味することは、防御の最終ラインとして「人」に重点を置き、悪質なコンテンツに騙されないようにフィッシング攻撃を見極める方法を組織全体で周知徹底するために、KnowBe4が「New School」と呼ぶ新しいスタイルのセキュリティ意識向上トレーニングが必要になってきていることを暗示しているのではないでしょうか。
参考文献: Stu Sjouwerman著 2023年3月17日発信SATブログ https://blog.knowbe4.com/92-percent-organizations-phishing-victims