抽象的と思われがちな「セキュリティカルチャー」をデータドリブンのアプローチで、7つのコアディメンションから動向データを収集・比較分析
東京(2022年5月27日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4社(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、2022年版セキュリティカルチャーレポートを公開しました。本セキュリティカルチャーレポートでは、過去3年(2019年から2021年まで)のセキュリティカルチャーについて動向データを世界で初めて比較分析し、地域別(国別)・業界別でグロバールの調査報告としてまとめましました。
今回公開した2022年版セキュリティカルチャーレポートは、KnowBe4ユーザーからのセキュリティカルチャーアンケート調査に2021年にご協力いただいた世界1,456企業・団体の257,000人以上の従業員からの回答を集計分析し、このデータと2019年から2020年までにKnowBe4が収集してきた匿名化されたKnowBe4のセキュリティカルチャー評価アンケート調査データを比較分析して、過去3年(2019年から2021年まで)のセキュリティカルチャーについて動向データを地域別(国別)・業界別でグロバールの調査報告としてまとめています。
<2022年版セキュリティカルチャーレポート総論>
セキュリティカルチャーを総合スコアだけで見ると、この3年間、何も変わっていないように見えます。世界平均で総合スコアは73点と、セキュリティカルチャーの醸成は停滞しているように見えます。
しかしながら、セキュリティカルチャーの7つのコアディメンジョンをそれぞれ集計分析してみると、セキュリティカルチャーがこの3年間で時間とともに変化し、組織への浸透が始まっている傾向を見られます。振る舞い・習慣的行動(Behavior)、認知(Cognition)、暗黙のツール、常態・常識(Norms)の3つのコアディメンジョンでは、スコアがこの3年間で徐々に上昇しています。これは、この3年間で、セキュリティカルチャー(行動・認知・共通理解)が組織へ浸透し始め、確かな地殻変動が起きている傾向を示すものと推測されます。
- 姿勢(Attitude) - 組織のセキュリティとその問題に対して従業員がどのように感じているか、またどのような信念をもっているか。
- 振る舞い・習慣的行動(Behavior) - 従業員の行動と活動(ふるまい)が、どのように組織のセキュリティに直接または間接的に影響を与えているか。
- 認知(Cognition) - 従業員がセキュリティ上の問題やその活動に対してどのように理解しているか、また どのような知見と認識をもっているか。
- 報告・連絡、コミュニケーション(Communication) - 組織のセキュリティについて議論し、周知徹底するためにどのようなコミュニケーションチャネルが確保されているか、またセキュリティ上の問題やインシデントの報告を支援するために十分なコミュニケーションチャネルが用意されているか。
- コンプライアンス(Compliance) - 従業員がどのように組織のセキュリティポリシーを理解し、遵守しているか。
- 暗黙のツール、常態・常識(Norms) - 組織内に存在するセキュリティの暗黙知に関して、従業員はどのような共通理解を持っているか、またどのように従っているか。
- 責任感(Responsibility) - 従業員がセキュリティの維持やリスクの回避のために自分の役割をどのように認識しているか。
<業界別で集計分析>
このレポートでは、業界別に踏み込んで、集計分析していますが、業界毎のサイバーセキュリティへの取り組みの特性が反映して、総合スコアの推移は個々に異なっています。総合してみると、上昇傾向が示されています。
<地域別(国別)集計分析>
2022年版セキュリティカルチャーレポートでは、これらのデータを地域別(国別)・業界別で集計分析しています。 セキュリティカルチャーの地域差をあることが見とれます。本調査結果の地域別のポイントをまとめると、次のとおりです。
- アフリカでは、セキュリティカルチャーに対する伝統的に関心が総じて高い。特に、南アフリカでは高いレベルのセキュリティカルチャーが達成されている。
- アジアでは、国によってセキュリティカルチャーに大きなばらつきが存在する。日本はセキュリティカルチャーのベンチマーキングは始まったばかりであるが、セキュリティカルチャーの成熟度としてはそれなりに健闘している。アジアの他の国、特にマレーシアやインドネシアは極めて低いセキュリティカルチャー評価指標スコアとなっている。
- ヨーロッパでは、スウェーデンとアイルランドは、技術的に進んでいると考えられる。また、イタリアやブルガリアは、この2カ国と並んで高いセキュリティカルチャー評価指標スコアを示している。
- 米国では、組織の規模によってセキュリティカルチャーに差があり、総論でいうと、小規模な組織は大規模な組織よりも優れている。
- オセアニアでは、オーストラリアとニュージーランドとも特に優れているわけでは、両国のセキュリティカルチャーが大きく異なっている。
- 中南米では、セキュリティカルチャーの測定が始まったばかりで、これらの地域から毎年多くの国が加わってきている。
<本レポートの監修者からのコメント>
KnowBe4のチーフエバンジェリストオフィサー兼戦略統括オフィサーであるPerry Carpenter(ペリー・カーペンター)は、2022年度セキュリティカルチャーレポートについて次のようにコメントしています。
「セキュリティカルチャーには、よりセキュア環境を確保するためにどのように考え、どのように取り組むべきかかが含まれています。2022年版セキュリティカルチャーレポートでは、これらの重要な要素に焦点を当てて、調査しています。過去3年(2019年から2021年まで)のセキュリティカルチャーについての最新動向データでは、地域や業種を問わず、全体的にセキュリティカルチャーが改善していることが明らかにされました。これは、今回の調査で最も注目すべき結果です。特に強調すべきことは、セキュリティカルチャーが、リスクを低減し、組織のセキュリティレベルを向上させるために活用されていることです。加えて、組織にとっての重要な資産としてセキュリティカルチャーを見るべきであること示唆していることです。さらに注目すべきことは、KnowBe4が推奨する継続的なセキュリティ意識向上トレーニングやフィッシング模擬演習ばかりではなく、KnowBe4が提供しているセキュリティカルチャー評価などの評価・測定ツールが全世界でより強固なセキュリティカルチャーを醸成するために貢献していることです。」
<本レポートに関するお問い合わせ>
2022年版セキュリティカルチャーレポート(英文)にご興味のある方は、https://www.knowbe4.com/organizational-cyber-security-culture-research-reportを直接アクセスするか、またはメール( info@knowbe4.jp )にてKnowBe4 Japan合同会社までお問い合わせください。
<KnowBe4のこれまでのセキュリティカルチャーの取り組み>
KnowBe4では、セキュリティカルチャーとは、組織のセキュリティに影響を与える考え方、習慣、社会的行動とそれを形成する振る舞いの全体と定義しています。KnowBe4では、これまでに、セキュリティカルチャーについて、セキュリティ業界をリードする様々な取り組みを行ってきています。これをKnowBe4独自の方法論としてまとめています。KnowBe4では、KnowBe4プラットフォーム上でセキュリティカルチャーアンケート調査を2019年から提供し、KnowBe4ユーザーにおけるセキュリティカルチャーの現状を調査してきています。この調査研究を通して、セキュリティカルチャー評価指標を確立し、セキュリティカルチャーの醸成度の他社比較を可能にする新機能「セキュリティカルチャー・ベンチマーキング」を2月7日にKnowBe4のユーザー向けに発表していますhttps://www.knowbe4.jp/press/new-security-culture-benchmark-feature 。この機能によって、KnowBe4のユーザー企業が自社のセキュリティカルチャーを7つのコアディメンジョン(基軸): Attitudes(姿勢)、Behaviors(振る舞い・習慣的行動)、Cognition(認知)、 Communication(報告・連絡、コミュニケーション)、Compliance(コンプライアンス)、Norms(暗黙のツール・常態常識)および Responsibilities(責任感)に対して、同業他社と比較し、セキュリティカルチャーに関するキーとなる評価指標を具体的なスコアとして比較評価することを可能しています。
また、この新機能発表に引き続き、セキュリティカルチャー測定を革新する業界初のセキュリティカルチャー成熟度モデルを本年度3月11日に発表していますhttps://www.knowbe4.jp/press/knowbe4-security-culture-maturity-model 。
<KnowBe4について>
KnowBe4(NASDAQ: KNBE)は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年5月現在、5万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、https://www.knowbe4.jp/ をアクセスしてください。
