グローバルに展開するリテール・ホールセール企業が、KnowBe4のPhish Alert Button(PAB)とセキュリティ意識向上トレーニングを導入した結果、フィッシング攻撃に対するユーザーからの報告が50倍に増加し、セキュリティ体制が大きく改善されました。
フィッシングは依然として主要な攻撃ベクトルの1つであり、攻撃者は技術的な防御をすり抜けるための手口を日々洗練させています。KnowBe4のPABは、従業員が不審なメールを報告できるようにし、「人」による検知レイヤーを形成して、組織のセキュリティ体制を大幅に強化します。
PABを導入後、ユーザーはワンクリックで不審なメールを即座に報告でき、受信トレイから脅威を取り除くと同時に、セキュリティチームへ通知できます。ただし、ユーザーが「いつ、どのように使うか」を理解していなければ効果は限定的となります。そのため、攻撃に対するリスクを実際に下げるためには、PABに加え、適切なトレーニングも欠かせません。
PABを展開する前に
今回の企業は、まず2024年12月に正式なトレーニングを行わないままPABを展開しましたが、報告率は0.3%にとどまり、Phish-prone Percentage(PPP)は11.5%のままでした。
PPPは、従業員がフィッシング攻撃に引っかかる可能性を示す指標です。数値が高いほどリスクが大きく、多くの従業員が攻撃にだまされやすいことを意味します。逆に、数値が低いほど、従業員のセキュリティ意識が強く、攻撃を見抜いて対処できることを示します。
この課題に対処するため、同社はフィッシングを一時停止し、全341名のユーザーを対象に「Phish Alert Buttonの使い方:不審なメールを報告する」というトレーニングモジュールを提供しました。
リスクの低減を測定
トレーニングの実施後、同社のセキュリティ文化は大きく変化しました。トレーニング後のフィッシングシミュレーションでは、報告率が0.3%から3月には15.4%へと急増し、2025年5月には22.4%まで上りました。
さらに重要なのは、フィッシングへの脆弱性が大幅に低下したことです。PPPは11.5%から2.4%へと下がり、リスクは79%低減しました。
KnowBe4のPAB機能をセキュリティプログラムに組み込むことで、注意が行き届きにくい従業員を狙う攻撃者に対して、ヒューマンリスクマネジメントの取り組みをより強固なものにできました。
セキュリティ意識を高めることは、リスクマネジメントにつながります。この事例は、初期の報告率が低くても、PABのトレーニングを適切に実施すれば大きな改善が得られることを示しています。