これまで、本セキュリティ意識向上トレーニングブログを使って、Cybercrime-as-a-Serviceの台頭、サイバー犯罪集団間の連携、サイバー攻撃の高度化などが原因でサイバー攻撃が増加し続けいる現状に加えて、この動向が将来にわたる継続することを、かなりの時間を割いて、記述してきている。この背景には、サイバー犯罪が今やビジネスとして実施され、サイバー攻撃集団はますます組織化されていることがある。
今回参考にしたいのは、過去12ヶ月間のサイバー攻撃の対応状況と今後の攻撃ベクトルの動向についてエグゼクティブを対象とした最新アンケート調査である。
このアンケート調査レポート「Cybersecurity Solutions for a Riskier World」は、サイバーセキュリティ分析ベンダーのThoughtLabによって実施されている。この最新アンケート調査では、2021年に何が起こったのか、そして今後何を期待しているのかを知ることができる。このレポートでは、2021年にサイバーセキュリティインシデントと重要なデータ侵害の両方が増加したことを明らかにしている。
- 2020年に比べて、2021年は、サイバーセキュリティインシデントを経験した企業や団体の数は15%増加し、そのうちの4分の1強(26.2%)が実質的にサイバー攻撃に巻き込まれている。
- 2021年に重大な侵害にまで発展したケースは0.82%と極めて少ないものの、この割合は2020年に比べると24%増加している。
さらに注目すべきポイントとしては、「今日の急激に様変わりする脅威の実態に対して十分な準備ができているか」という設問に対する調査結果である。
- 回答者の平均で27%が「準備ができていない」と答えている。さらに、CSOに至っては、40%は「十分に準備ができていない」と回答している。
次の注目ポイントとしては、攻撃ベクター(攻撃手口)についての調査結果である。情報漏えいの原因となった攻撃手口と今後 2 年間で最もリスクが高い攻撃手口について尋ねたところ、次のように、現状と今後における傾向あることが明らかにされた。
将来における最も高いリスクの上位は、最近発生した情報漏えいの主な原因の上位と同じであることが分かる。また、どれもユーザーが知らず知らずのうちに巻き込まれているものでる。そして、ランサムウェアの攻撃における発端となる攻撃手口の第1位がフィッシングであることを考えると、ランサムウェア攻撃においても、何らかの部分でユーザーの人的なミスが関与していることが推測できる。
この考察から学ぶことは、サイバー攻撃から組織を守るために最も必要なことは、ユーザーが引き起こしている人的なミスをいかに克服することである。サイバー攻撃者は、フィッシング、ビッシング、スミッシング、 ソーシャルエンジニアリング攻撃など、様々な手口を駆使してくる。このような手口のすべてに対して、対応をユーザーに準備させることである。これに必要なのは、 セキュリティ意識向上トレーニング である。これを通して、従業員一人ひとりが、攻撃の仕組みや手口、メールやウェブ上の悪意のあるコンテンツの見分け方などを理解するようにさせ、攻撃者が仕掛ける罠に引っかからないようにすることである。
サイバー攻撃への備えを強化するために、人的防御対策が見逃されていないか?まずは、従業員へのセキュリティ意識向上トレーニングを実施することある。
原典:Stu Sjouwerman著 2022年6月7日発信 https://blog.knowbe4.com/organizations-unprepared-for-cyberattacks?utm_medium=email&_hsmi=215785464&_hsenc=p2ANqtz-9gairo_jxi5YmS-Lfatw36GuxdO2SdwQ6SdI7Ef8etiVgAHLoUuqD-3vbsXRfKseLr7XcQctZuinIg_IOabJWYEVXM0pcJyDR-dc5PoXJ9Kd-tHKw&utm_content=215785464&utm_source=hs_email
