今回のレポートでは、ベンチマーク結果から強固なセキュリティカルチャー(文化)を作り出すパターンを探究
東京(2023年6月28日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、 2023 Phishing by Industry Benchmarking Report(2023年度版業界別フィッシングベンチマーキング調査レポート)をリリースしたことを発表しました。PPP (Phishing Prone™ Percentage:フィッシング詐偽ヒット率) は社員ひとり1人がどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するもので、本レポートはPPPを業界別のベンチマーキングとして統計分析したものです。
本レポートで集計したベースラインテスティング(トレーニング開始前の実態調査)によると、セキュリティトレーニングを受けていない場合、すべての業種において、33.1%の従業員が疑わしいリンクをクリックしたり、不正な要求に応じたりする可能性があるという分析結果が示されています。この全業種平均の数値は、昨年の結果32.4%から33.1%へ微増しています。前年比の増加率は1ポイント弱の微増であるが、フィッシング攻撃の高度化・巧妙化のなか、依然としてセキュリティカルチャーの組織全体での醸成が不十分であることが考えられます。
KnowBe4は、19の異なる業種における3,210万回以上の模擬フィッシング訓練/フィッシング攻撃テストの結果を集計し、35,681の組織における1,250万人以上のユーザーのデータセットを分析しています。KnowBe4では、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標「PPP(Phishing Prone™ Percentage:フィッシング詐偽ヒット率)」を集計しています。これによって、どれくらいの従業員が誤って摸擬フィッシングメールのリンクをクリックした、または感染した添付ファイルを開いたかを可視化しています。
ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、驚くべき改善が見られました。90日間のKnowBe4のトレーニングとフィッシング演習の結果、全世界の平均PPPスコアは、33.1%から18.5%へと大きく減少しています。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5.4%までに減少しています。これは、KnowBe4のトレーニングとフィッシング演習が新しい行動習慣を常態化し、より強固なセキュリティカルチャーをj醸成していることを示す驚くべき成果です。 
また、本レポートでは、どの業界がサイバー脅威に対して最も脆弱で、PPPが最も高い業種かを集計分析することで、セキュリティ意識向上トレーニングの必要性が高い業界を解明しています。小規模組織(1-249名)と中規模組織(250-999名)では、医療・介護および製薬業界が、それぞれ32.3%と35.8%と最も高いPPPとなっています。大規模組織(1000名以上)では、保険業界が2年連続で最もリスクが高く、PPPは53.2%で、2022年から変化していません。 
本レポートで注視すべきことは、ソーシャルエンジニアリング攻撃に対抗するためには、テクノロジーが重要な役割を果たす疑う余地はないが、その一方で、サイバー攻撃の人的要因を無視することができないという事実です。 米Verizon社の2023年度版Verizonデータ侵害調査報告(Verizon 2022 Data Breach Investigations Report) は、今年のデータ侵害の74%は人的要素が関与していると報じています。これは昨年の82%から改善されたものの、昨年引き続き、従業員に的確なセキュリティ意識向上トレーニングを実施することで、サイバー攻撃の人的要素に焦点を当てた取り組みを継続することは不可欠です。
さらに、本レポートでは、北米、英国、アイルランド、ヨーロッパ、アフリカ、南米、アジア(日本を含む)、オセアニア(オーストラリア/ニュージーランド)のフィッシングベンチマーク結果を地域別に集計分析を行っています。 
KnowBe4のCEOであるストゥ・シャワーマンは、2023年度版業界別フィッシングベンチマーキング調査レポートについて次のようにコメントしています。
「ホテル・観光業や教育機関でPPPが改善されていますが、医療・介護および製薬業界ではPPPが現状維持または増加しています。KnowBe4の業界別フィッシングベンチマークレポートの調査結果は、新しいスタイルのセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)と模擬フィッシング攻撃演習のシミュレーションの有効性を実証するものです。教育を受けた従業員は、強力なヒューマンファイアウォールを形成し、安全なサイバー習慣を実践し、強固なセキュリティセキュリテを構築する鍵となります。」
詳細につきましては、2023年度KnowBe4業界別フィッシングベンチマーキング調査レポート(英語版)を下記のリンクからダウンロードしてください。
https://www.knowbe4.com/phishing-benchmarking-analysis-center
なお、日本語版は現在作成中です。日本語版業界別フィッシングベンチマーキング調査レポートをご希望の方は、KnowBe4 Japan合同会社まで電話(03-4586-4540)または お問い合わせフォーム( https://www.knowbe4.jp/contact-us )にてお問い合わせください。日本語版完成後に、KnowBe4 Japan合同会社より日本語版をお送りします。
<KnowBe4について>
KnowBe4は、人的防御層(ヒューマンデフェンス・レイヤー)の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2023年5月現在、6万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
*セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング/ランディングページ演習テンプレート(20,000種以上)に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ(340種のインタラクティブトレーニングモジュール、545種の動画トレーニングモジュール、1437種のセキュリティ教育/トレーニングコンテンツ)を提供しています(2023年2月末現在)。
