当初、サイバーセキュリティ業界では、ソーシャルエンジニアリングが攻撃者やマルウェアの成功に大きな役割を果たしていることは知られていましたが、その影響の規模を正確に把握している人はいませんでした。ソーシャルエンジニアリングが最大の問題であると指摘しているサイバーセキュリティの専門家はほとんどおらず、ソーシャルエンジニアリングに匹敵する他の根本原因がないことを指摘する人もいませんでした。実際、成功した攻撃のすべての他の要因を合わせても、ソーシャルエンジニアリングによるデータ侵害の影響には及びません。
私は、その頃からデータの分析を始めました。当時勤めていた大手企業のMicrosoft、その他大手サイバーセキュリティベンダー、アンチウィルスベンダー、入手可能なすべてのサイバーセキュリティレポート、公的なクリアリングハウスからデータを収集し、分析した結果、成功したデータ侵害の70%~90%にソーシャルエンジニアリングが関与していることが判明しました。これより低い統計を提示する人がいる場合、正しい分類法(これは後日別のブログで紹介します)を用いていないか、企業だけでなく、膨大な数のテレワークユーザーを考慮していない可能性があります。
Microsoftに在籍中、どれほど画期的で、高価で、高度なシステムであっても、すべてのシステムはソーシャルエンジニアリング(および一部はパッチ未適用のソフトウェア)よって簡単に攻撃を受けてしまうことを突如認識しました。2015年、これらの問題をまとめMicrosoftのホワイトペーパーとして作成しました。そして、2018年には、「A Data-Driven Computer Defense(データドリブンのコンピューター防御)」(英文)として初版が出版され、ベストセラーになりました。
私がこの問題に関して多く執筆してきたこともあり、時間の経過と共にソーシャルエンジニアリングがサイバーセキュリティにおける最大の問題であるという認識が、業界全体で共有され一般的になりました。現在では、ソーシャルエンジニアリングが圧倒的な問題であることに疑問を持つ人はいませんが、以前は一般的ではありませんでした。
私はソーシャルエンジニアリングが最大の課題である認識が広く浸透し、重大な脅威としてその対策に適切な予算が割り当てられであろうと考えていましたが、実際にはそうはなっていません。
多くの企業は、さまざまな多くの脅威に対するセキュリティ対策に取り組んでいますが、Microsoftでさえ、ソーシャルエンジニアリングを軽視しています。PKI、MFA、IDSなどの高価なシステムであっても、私は技術的なセキュリティ対策だけではソーシャルエンジニアリングによる攻撃を防ぐことができない状況に嫌気がさし、最終的に約6年前にMicrosoftを辞めKnowBe4に加わりました。その決断に後悔はなく、今では、より安全なサイバー世界のために、自分にできる最善の貢献をしていると感じています。
しかし、6年以上たった今でも最大の疑問は、ソーシャルエンジニアリングがサイバー攻撃の70%~90%を占めているにもかかわらず、なぜそれに見合った適切な対策が講じられていないのが現状です。
サイバーセキュリティの最大の問題は、人的リスクの管理であることがわかっているのに、ほぼすべての組織はより大きな課題の中の小さな問題のように扱っており軽視しています。それこそが最大の問題です。
平均的な組織では、年に一度しかセキュリティ意識トレーニングを実施しません(それすら行っていない組織もあります)。フィッシングのシミュレーションテストを実施しているかどうかも明らかではなく、人的リスクを軽減するための取り組みに充てられる予算は、ITまたはITセキュリティ予算全体のわずか5%未満です。
人的リスクが問題の70%~90%を占めるにもかかわらず、5%すら割り当てられていないのです!今までずっとこのような状況でした。来年も、それ以降も、おそらくこの状況が大きく変わることはないでしょう。まったくもって不可解と言わざるを得ません。
人的リスクの管理に成功しているセキュリティ組織は、月に一回のセキュリティ意識トレーニングと週に一回のフィッシングのシミュレーションテストを実施しています。これらをすでに実施している場合、人的リスク管理レベルが高い優秀な組織と言えます。人的リスク管理は、トレーニングとテストだけに留まりませんが、これらは非常に重要な要素です。
セキュリティマネージャーが人的リスクを軽減し組織の防御力を高めようとするときに、組織の経営幹部やエンドユーザーから「トレーニングが多すぎる」「テストは無駄」といった反発の声が上がることには驚かされます。これらトレーニングやテストには効果がないと述べる人もいますが、これは正しくありません。これらの有効性は、多くのデータから裏付けられています。
私は、経営幹部から人的リスク管理プログラムへの支援をどうやって得るのかと質問されることが多くありますが、この質問には驚かされます。経営幹部は、ランサムウェアや今年大きな被害をもたらしたChange Healthcareへの攻撃を知らないのでしょうか?Change Healthcareの攻撃は、認証情報が侵害されたことが原因でした。ほぼすべての認証情報の侵害は、ソーシャルエンジニアリング攻撃と弱いパスワードを使用していることに起因します。ほとんどのデータ侵害と同様に、フィッシングに耐性のあるMFA(多要素認証)と人的リスク管理を徹底していれば、防ぐことができたはずと考察されています。
サイバーセキュリティトレーニングを全く実施していない企業や、大部分のエンドユーザーに対してフィッシングのシミュレーションテストを行っていない企業もあります。人的リスクを管理しているマネージャーが、トレーニングやテストを実施する際に、組織内で多くの不満や摩擦が生じることがありますが、それは道路を渡るときに左右を確認する必要性に文句を言う子供のようなものです。すべてはあたな自身のためであり、組織のレジリエンスを強化するためです。
人的リスクが深刻な事態を引き起こす可能性があるにもかかわらず、最重要事項として取り組まないのは理解に苦しみます。なぜ組織は、より大きな問題であり潜在的な影響度も大きい課題を後回しにし、他のことにばかりに注力するのでしょうか?人的リスクの軽減を最も重大な問題として真摯に向き合わない理由は何でしょうか?多くの組織は、リスクを軽減することのない他の対策に予算と労力を費やして、重要な人的リスクを数ある課題の一つとしてしか扱っていません。
組織が、特定の期間に攻撃を受けるかどうかは、人的リスク管理(およびソフトウェアおよびファームウェアのパッチ管理)にどれだけ取り組んでいるかにかかっています。この2つに取り組めていない場合、他の対策をどれだけ実施しても、全く意味がありません。
次の3つの質問を自分自身へ投げかけてみてください。
質問1:経営幹部は、組織に対するサイバー攻撃の70%~90%がソーシャルエンジニアリングによるものであることを知っているでしょうか?
質問2:ランサムウェアやデータ侵害のほとんどが、人的リスクの問題に起因していることを理解していますか? もし知っているなら、そのリスクを低減させるために、問題の70%~90%を占める原因の大きさに見合ったリソースを配分していますか?
質問3:自社のエンドユーザーは、ソーシャルエンジニアリングが問題の70~90%を占めており、自社がランサムウェアやデータ漏えいの被害を受けるかどうかは、ソーシャルエンジニアリングと戦うための従業員一人ひとりの意識とそして組織全体の行動にかかっていることを知っていますか? もし知らない場合、なぜ知らないのでしょうか?
30年以上もソーシャルエンジニアリングが最大の問題であり続けていることを見てきましたが、依然として十分なサイバーセキュリティリソースが割り当てられてなく、注力されていないことが不思議でなりません。これは、車のブレーキを交換する必要があると言われたのに、タイヤやワイパーを交換して、なぜ事故が起きたか不思議に思うようなものです。
サイバーセキュリティ予算の70%~90%を人的リスク管理に充てる必要はないかもしれませんが、少なくとも5%以上は費やすべきです。組織で受講しなければならないトレーニングや次々と送られるシミュレーションテストへの反発があった場合、それらが組織のサイバーセキュリティの強化と健全性にとって、最も重要で効果的であることを説明する必要があります。
36年以上サイバーセキュリティ業界に携わってきましたが、現在では誰もがデータ漏えいやランサムウェアにおいて、ソーシャルエンジニアリングが最大の脅威であることを知っています。それにもかかわらず、何故、ソーシャルエンジニアリングに対する相応の対応をしないのでしょうか?
原典:Roger Grimes著 2024年11月4日発信 https://blog.knowbe4.com/if-social-engineering-is-70-90-of-attacks-why-arent-we-acting-like-it