セキュリティ意識向上トレーニング(SAT)と模擬フィッシング訓練は、サイバーセキュリティのリスクを大幅に低減する効果があります。そして、その効果を証明するデータ、顧客の評価、政府の勧告があります。
サイバーセキュリティの専門家は、データ侵害が成功したケースの60%から90%以上でソーシャルエンジニアリングが関係していると述べています。
例えば、Barracuda Networksは、セキュリティ侵害が成功したケースの66%でスピアフィッシングが使用されたことを報告しています。認証情報詐取の79%はフィッシングが起点となっています。Avastが公開した最近のデータでは、すべてのサイバー攻撃の90%にソーシャルエンジニアリングが関係していることが示されています。これらの数値は報告書によって異なっていますが、ソーシャルエンジニアリングが最大の脅威であることに変わりはありません。
ポリシー、テクノロジー、教育を組み合わせたソーシャルエンジニアリングを軽減するための取り組みを、もっと積極的に行うことに異論を唱える人はいないでしょう。
ソーシャルエンジニアリングは、ポリシーや防御システム、防御テクノロジーを攻撃者に突破された後から、その脅威を発揮します。悪意のあるメールの7通に1通が、Emailセキュリティをすり抜けて到達しているというデータも存在します。
あらゆるソーシャルエンジニアリングを防止できる防御テクノロジーを期待して待つことより、今は、ソーシャルエンジニアリング攻撃の発見と、見つけたらすぐに報告できるようにユーザーを教育することが重要です。米国政府のプログラムであるFedRAMPの推奨事項には以下のように述べられています。
「ユーザーは最後の防衛線であり、この防衛線が機能するかテストしなければなりません。少なくとも毎月トレーニングを実施し、可能であれば毎週模擬フィッシングキャンペーンを頻繁に実施することを推奨します。フィッシングキャンペーンを毎週実施すれば、ゲーミフィケーションの要素を取り入れることができ、優れた成果を得ることができます。」
セキュリティ意識向上トレーニングを分析したホワイトペーパー
KnowBe4には世界中で6万社を超えるお客様のご利用状況についてのデータが蓄積されています。当社のお客様は、教育と訓練によって、フィッシング攻撃に含まれる不正なリンクやファイルをクリックしてしまう従業員を大幅に減らすことに成功しています。教育や模擬フィッシング訓練の実施頻度は、高ければ高いほど、より優れた成果を得ることができているということも明らかになりました。
数字で見る効果
KnowBe4は、32,604,108人のユーザー、6万社以上の顧客から収集した10年以上にわたる匿名化された記録を分析しました。これらの顧客は合計で493,871,295回フィッシングセキュリティテスト(PST)を受け、少なくとも年に一度はセキュリティ意識向上トレーニングに参加しています。ここまで大規模なサンプルから集めたセキュリティトレーニングの効果に関する調査は他には類を見ません。
主な5つの分析結果を以下に紹介します。
顧客の評価
KnowBe4だけがトレーニングの効果について述べているわけではありません。KnowBe4の顧客は、自社環境における改善を実際に体験し、セキュリティ意識向上トレーニング(以下SAT)が有効であると述べています。以下に顧客の評価の一例を紹介します。
「ファイアウォールやフィルタリングにいくら予算を費やしても、エンドユーザーがフィッシングメールをクリックしたら意味はありません。そのために、フィッシング詐欺を検知できるようにエンドユーザーをトレーニングして、被害に遭わないようにしなければなりません。当社はKnowBe4を最大限に評価しています。」
「今の会社に入社して最初に実施したのは、ネットワーク全体での侵入テストでした。この結果は悲惨なものでした。MFAは使用されておらず、ユーザーはフィッシングメッセージがどのようなものであるか、また特定や対応の方法についてまったく理解していませんでした。この侵入テストでは、ユーザーが安全性を考慮することなくあらゆるリンクやファイルをクリックしていることが明らかになりました。しかし、KnowBe4は6か月でこの悪しき文化を変えてくれました。」
「KnowBe4のセキュリティ意識向上トレーニングプラットフォームを長期間使用してきましたが、KnowBe4はサイバーセキュリティ教育におけるゲームチェンジャーと言えるでしょう。サイバー脅威は進化を続け、巧妙になっています。KnowBe4のような効果的なトレーニングソリューションを導入することは、個人そして組織にとって不可欠です。」
「KnowBe4の最大の特長の1つは、ビジネス環境だけでなく、ユーザー個人の生活にも大きく関係することです。多要素認証やソーシャルメディアなどのさまざまなトピックは、習得した知識を家族や友人にも伝えることができると、受講者から高い評価を受けています。」
「Phish Alert ButtonとPhishERも、サイバーセキュリティの状況を常に把握するのに役立つ素晴らしいツールです。当社の従業員は、トレーニング用のメールだけでなく、PABを積極的に使用しており、潜在的な脅威への警戒や監視を強化し、脅威が発生したときに慎重かつ適切に対応できるようになりました。」
「コンテンツが常に更新されており、新たに登場するさまざまなセキュリティ脅威を効果的に防ぐキャンペーンを作成できます。」
セキュリティ意識向上トレーニング(SAT)のポリシーの作成
監査の基準を満たす目的でサイバーセキュリティトレーニングを年に1回実施しても、効果はありません。社員の採用時に長めのSATを実施し(例えば15~30分)、その後も長めのトレーニングを年に1回、それに加えて、短時間の(例えば3~5分)SATを少なくとも毎月行うべきです。
模擬フィッシング訓練は、少なくとも月に1回は実施することを推奨します。しかし、毎週フィッシングテストを実施している組織は、ソーシャルエンジニアリングのリスク値が低い状態を保てるということもわかっています。模擬フィッシングテストに「不合格」となった従業員には、さらに多くのトレーニングを課した方が全体の安全性を高めることに繋がるでしょう。
米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)の勧告では、「継続的にトレーニングを実施」することを推奨しています。最近、Microsoft OutlookにPhish Alert Buttonが統合されたことで、より簡単にフィッシングメールを報告できるようになり、従業員が検出した脅威の報告が増えることで、防御能力をさらに強化できるようになりました。
2024年の業界別フィッシングベンチマークレポート
2024年も、セキュリティ意識向上トレーニングと模擬フィッシングが優れた成果を挙げていることが証明されました。KnowBe4の最新の業界別のフィッシングベンチマークの調査は、5,410万件以上の模擬フィッシングテスト、55,700社の組織、1,190万人以上のユーザーを対象にしており、以下の3つの重要な事実が明らかにしています。
フィッシングにユーザーが騙される割合は、1年が経過すると86%も改善しています。サイバーセキュリティのリスクを削減するための手法で、これほど迅速に効果を発揮するものは他にありません。こちらからレポートを入手し、自社の状況と同じ業界の他社の状況を比較してください。
圧倒的なROI
KnowBe4はROIも極めて優れています。セキュリティ意識向上トレーニング(SAT)はPhishER PlusやCompliance Plusと組み合わせることができます。すべて同じプラットフォームを使用できることにより高いROIが得られます。Forresterは、3年間のROIが276%に達し、3か月以内に投資を回収できると試算しています。この調査結果はこちらから入手できます。
セキュリティ意識向上トレーニング(SAT)や模擬フィッシングテストは、従業員を怒らせたり不満を感じさせたりする方法で実施すべきではありません。SATや模擬フィッシングテストを従業員が不快に思っているのであれば、間違ったやり方をしていることになります。SATプログラムは、サイバーセキュリティのリスクを軽減し、ユーザーが不審なメッセージに気づけるようにする目的がありますが、それだけではありません。健全なカルチャーを作るために取り組むように心がけてください。
繰り返しになりますが、セキュリティ意識向上トレーニングは企業や組織のサイバーセキュリティリスクを軽減する明確な効果があります。さまざまなデータ、顧客の評価、政府のサイバーセキュリティ機関の勧告も、この効果を証明しています。堅牢なセキュリティカルチャーを育み、ネットワークを安全に利用できるようにしてください。
原典:Roger Grimes著 2024年5月31日発信 https://blog.knowbe4.com/the-hard-evidence-that-phishing-training-and-testing-really-works