最初に簡単に私の自己紹介をさせてください。私 Stu Sjouwerman (ストゥ・シャワーマン) は、現在、KnowBe4のCEOを務めています。KnowBe4は、私が5回目に立ち上げた企業です。IT業界に40年以上携わってきましたが、直近の25年間は情報セキュリティ企業を立ち上げきています。
1つ前の会社では、侵入検知、侵入防止、ファイアウォールを組み合わせたアンチウイルスエンジンをゼロから造りました。しかし、その頃、正規のユーザーが攻撃者や犯罪者に操られてしまうということに、ほとんどの企業が関心がないという、今も続いている問題を目の当たりにしました。このことこそが、私が、IT部門やIT担当者が今も続くソーシャルエンジニアリング攻撃に対処できるようにすべく、KnowBe4を立ち上げた理由です。
KnowBe4は2021年4月のナスダック市場に上場を果たしました。その後、2023年に大手グローバル投資会社 Vista Equity Partnersのもとに非公開企業になりました。
本ブログのサマリー
大きな損失を伴うシステムのダウンタイムの阻止とデータの漏洩は重要な課題の一つです。急増しているランサムウェアの感染によって情報は流出し、ネットワークを遮断せざるを得なくなります。実は、このランサムウェアの感染原因の3分の2はフィッシングによるものです。
このことが現在、リスク低減とデジタル化された資産の保護において、セキュリティ意識向上トレーニング(Security Awareness Training 略してSAT)が重要な役割を果たすようになってきた理由なのです。
フォレスターのレポート「KnowBe4のROI(投資対効果)」(1) によれば、KnowBe4のセキュリティ意識向上トレーニングを導入効果Top5 は以下の通りです。
- 3年間のROIは276%、コスト回収は3カ月以内に実現
- セキュリティ意識向上トレーニングとフィッシング演習でセキュリティ態勢が強固に。セキュリティリスク侵害に対応し、3年間で43.2万ドル(約6,485万円*)の被害コストを削減
- 従業員のプロアクティブな脅威対応によってメールアラートの調査と対応コストが削減され、41.4万ドル(約6,169万円*)のITコストカットを実現
- 自社内製プログラムの代わりにKnowBe4の35カ国語対応のセキュリティトレーニング・ライブラリーとフィッシング演習プログラムを活用することで、16万ドル(約2,463万円*)の従業員教育コスト削減を実現
- セキュリティインシデントによるサイバー被害を減らすことで、サイバー保険のコスト増を回避
(1ドル=150円換算)
注目すべきポイント: KnowBe4のプラットフォームを導入することで、サイバーセキュリティのための投資をより効果的に活用できるようになります。このプラットフォームにはフィッシングディフェンス、リアルタイムセキュリティコーチ、コンプライアンストレーニングなどは、既存のセキュリティ対策の効果を最大化するアドオンが備わっています。KnowBe4の導入は、KnowBe4のユーザーがその投資対効果を認める有効な投資です。
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
深刻化するソーシャルエンジニアリング攻撃問題
情報セキュリティの投資対効果を最大化することは、自社のネットワーク、システムとデータをサイバー攻撃から守るために、セキュリティ戦略の重要な要件です。効果的な製品を選び、導入することができればリスクの低減はもちろん、投資対効果を高めることができます。
単なる一つのサイバー攻撃の成功を許してしまうことが、収益、支出、キャッシュフローに影響を及ぼす事態に発展する可能性があります。この点でIT部門と情報セキュリティ部門のリスク管理の責任は重大です。
サイバーセキュリティ市場における世界的な指標「サイバー犯罪の推定コスト」は、2023年から2028年の間に合計5兆7,000億ドル(69.94%増)に達し、継続的に増加すると予測しています。(2)
サイバー犯罪の被害額が急増する中、従業員は最大のサイバーセキュリティリスクになっています。ベライゾン社のDBIR調査によると、データ漏洩の74%には人的要因によるものであり、サイバー攻撃の91%はスピアフィッシング攻撃から始まり、ランサムウェア感染の3分の2はフィッシングに起因しています。(3)
この統計結果は、効果的なセキュリティ意識向上トレーニング(SAT)プログラムを実施することの重要性を強調しています。効果的なSATプログラムにより、従業員はより懸命なセキュリティ上の判断を下せるようになり、セキュリティカルチャーが育まれ、人的要因によるリスクを軽減することができます。セキュリティ意識向上トレーニング(SAT)のROIを正確に評価するには、次の3つを認識することが必要であると考えます。
- SATプログラムを実施しなかった場合のリスクとコストの理解
- SATプログラムを内製して、導入、管理するコスト
- KnowBe4のSATプログラムプラットフォームを利用するメリットとそれによるリスク低減
SATプログラムを実施しなかった場合のリスクとコスト
SATを実施することはリスクの低減につながります。もし、これを実施しなかった場合、却ってコストは意外に高くつくかもしれません。2023年、データ侵害の平均被害額は445万ドルでした。この被害額は主に次の6つ項目によって生じたコストの合計です。
- サイバーインシデントや情報漏えいからの復旧に要する時間とコスト。外部のサービスによる復旧費用は高額になりがち。
- ダウンタイムによる業務停止
- 盗難を受けた金銭、支払われた身代金、詐欺被害などの金銭的な損害
- 企業の信頼や評判の低下や風評被害
- 知的資産の損失
- サイバーセキュリティ保険料の増額や業界固有の基準/規制への不遵守による罰金の可能性
しかし、それだけではなく、売上損失は目に見えるかたちで発生してきます。2023年だけでも、10億ドル以上の売上損失を被ったと公表された多くのサイバーインシデントが発生しています。
「3年近く前、トップマネジメントの決断で、KnowBe4を導入しました。結果、そのようなセキュリティインシデントは発生していません。」
KnowBe4ユーザーのITセキュリティアウェアネスプログラム担当マネージャー
独自の内製SATプログラムを使うデメリット
継続的な飽きさせず、わかりやすい、そして多言語に対応したコンテンツを更新し続け、誰もが容易にアクセスできる効果的なSATプログラムを作成することは、大変な労力を要します。さらに、SATプログラムの効果を確認するために重要なレポーティング機能まで自前で開発するとなると、どれだけの時間、人材、リソースが必要でしょうか? 組織の規模にもよりますが、開発のコストはKnowBe4のセキュリティ意識向上トレーニングとフィッシング訓練・分析を組み合わせた統合型プラットフォームの年間サブスクリプション費用の少なくとも2〜3倍は高くなります。
KnowBe4のSATプラットフォームを利用するメリットとROI
効果的なSATプログラムは、サイバー攻撃やデータ漏洩による損害を被る前に、フィッシングやソーシャルエンジニアリング攻撃がもたらすリスクを軽減するためのプロアクティブなアプローチです。IBM社の2023年「データ侵害のコストに関する調査」(4) によると、従業員のセキュリティ・トレーニングは、2023年における最も効果的なデータ侵害コスト軽減策の3つのうちの1つであり、平均23万2,867ドル(約3,494万円)のコスト節約を実現しています。
進化するソーシャルエンジニアリングへの対策を実現するベストプラクティス
KnowBe4の業界別フィッシングベンチマーキングレポートは、数百万人の個人ユーザーにおけるPhish-prone™ Percentage (PPP)を分析しています。このレポートは、人という防御層を追加して、セキュリティカルチャーを強化するために従業員に投資することがいかに重要であるかを示しています。フィッシング攻撃に対する対応力を劇的に改善し、このリスクの82%を削減します。(5)
KnowBe4の導入を是非ご検討ください
2023年9月現在、6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。
著者:KnowBe4創立者兼CEO Stu Sjouwerman(ストゥ・シャワーマン)
参考資料:
- Forrester Total Economic Impact of KnowBe4(KnowBe4の経済効果) https://info.knowbe4.com/forrester-tei-study?
- Statista Cost of Cybercrime Worldwide(サイバー犯罪の推定コスト): https://www.statista.com/forecasts/1280009/cost-cybercrime-worldwide
- Verizon DBIR:(2023年データ漏洩/侵害調査報告書)https://www.verizon.com/business/ja-jp/resources/reports/dbir/
- The IBM Cost of a Data Breach Report(2023年「データ侵害のコストに関する調査」 )https://www.ibm.com/jp-ja/reports/data-breach
- 業界別フィッシングベンチマーキングレポートhttps://www.knowbe4.jp/press/jp-version-2023-phishing-by-industry-benchmarking-report
原典:Stu Sjouwerman著 2023年10月29日発信 https://blog.knowbe4.com/the-outstanding-roi-of-knowbe4s-security-awareness-training-platform