投資計画、自社の責任、政府への期待で3カ国に差: ソーシャルエンジニアリング対策について出遅れが見られる日本
東京(2024年3月27日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダー*であるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、サイバーセキュリティの現状について調査するために、日本のほか、オーストラリア、シンガポールの企業や団体のIT意思決定者を対象に実態調査を2024年1月5日~10日に実施し、その調査結果を実態調査レポートとしてまとめました。
.jpg?width=470&height=264&name=%E8%A1%A8%E7%B4%99JP_BenchPR%20-%20Cyber%20Security%20(JP%202024%20Report).jpg)
今回の実態調査は、不特定多数を対象に公平な調査とするために、前回(2022年12月9日~14日実施)と同様にKnowBe4の社名は一切公開せずに行われました。日本においては、2024年1月5日~10日の間に日本企業および団体を無作為に抽出しオンラインにてアンケート調査しました。本調査は、日本においては英国市場調査会社YouGov社が株式会社日本リサーチセンター(NRC)と共同で日本語によって行われ、YouGov社によって集計され、その後、KnowBe4 Japanが分析しました。日本での調査対象者およびサンプル数は次の通りです。
- 日本企業・団体のIT意思決定者 214名(業種不問)
今回の実態調査の設問は次の7つです。
- 2024年に投資/支出を計画しているサイバーセキュリティ対策について
- フィッシングとBEC(ビジネスメール詐欺)のリスクについて
- サイバーセキュリティ攻撃から組織を保護する責任所在について
- サイバーセキュリティ対策における政府の責任 について
- フィッシングメール/フィッシングSMSの見極めについて
- サイバー攻撃から組織を守るために最も有益な方法 (上位5位)について
- データ漏洩に関する情報とベストプラクティスを共有する際の組織にとっての有益な点について
さらに、KnowBe4 Japanが日本、オーストラリア、シンガポールの3カ国の調査結果を比較することで、日本におけるサイバーセキュリティ対策の現状を考察しています。
3カ国を比較して、KnowBe4 Japanは日本のサイバーセキュリティ対策の実態を次のように分析しています。
フィッシングとBEC(ビジネスメール詐欺)の危険性の認識
- 51%のシンガポールのIT意思決定者は“フィッシングをリスクと認識して懸念している“と回答した。日本は29%にとどまった。
- “疑わしいメールをIT部門へ正しく通報している“と回答した割合は、日本は3カ国中最低で21%。オーストラリア34%、シンガポールは40%。
- 従業員が“攻撃や詐欺メールを見極められる”と回答した割合は。これも日本は3カ国中最低で21%。オーストラリア39%、シンガポールは38%。
サイバー攻撃から組織を守る責任は誰にあるのか?
- “責任は全員にある”と回答した割合は3カ国とも40%を超える高い水準。日本49%、オーストラリア50%、シンガポール40%。
- “IT部門の責任“と回答した割合は、シンガポールが42%と最も高く、他の2国に比べて倍以上。
- “政府の責任”と回答した割合もシンガポールが最も高く37%、日本の14%の5倍以上。
- “テクノロジー“と回答した割合は、日本は最も低く14%、オーストラリア27%、シンガポール24%。
サイバーセキュリティにおける政府の役割
- 46%の日本のIT意思決定者は、サイバーリスクとオンラインでの安全な生活の仕方について、”すべての国民にもっと教育と認識を与えるべきだ”と回答した。
- 日本のIT意思決定者で“サイバー攻撃被害やデータ漏洩の情報の政府への共有に対する自社の役割を理解している”と回答した人の割合は16%にとどまり3カ国で最も低かった。
サイバー攻撃から組織を守るために最も有益な方法 (上位5位を選択)
- 日本は、”ネットワークセキュリティ”を1番目にあげた回答者が最も多く24%、次が“パッチの適用と更新”で14%、“セキュリティ意識向上”が3番目に多く12%。
- “エンドポイントセキュリティが最も有益”と答えた人の割合は3カ国ともに10%に届かず、他の項目に比べ1位に上げる回答者が最も少なかった。
データ侵害に関する情報とベストプラクティスを組織内外に共有するメリット
- 日本は84%が、データ侵害に関する情報やベストプラクティスを自組織、企業、法執行機関、政府間で共有することは、自組織にとって有益であると考えている。
- その一方で、“法規制などのコンプライアンス要件をより効果的に満たすことに繋がる”(18%)、“他社や他組織との共同防衛戦略を促進する”(17%)、“被害組織が特定されることなく分析目的で匿名化されたインシデントデータへのアクセスを許可することに繋がる“(13%)などコンプライアンス遵守や集合知による防御に有益であると考えている日本のIT意思決定者は20%に達していない。
今回のアジア太平洋地域の主要3カ国に対する調査によって、各国のセキュリティ意識向上トレーニングの実態に加えて、サイバー被害にあった場合の備えに対する取り組みの優先度や考え方の違いが明らかになりました。日本はこれまでソーシャルエンジニアリング攻撃に対して、言語の壁により守られていたと言えますが、近年のAIの発達により、そのリスクは海外との差がなくなってきています。今回の調査結果からは、日本は、海外に比べるとソーシャルエンジニアリング攻撃に対するセキュリティ意識向上の取り組みには消極的である、と考えられます。
今回のサイバーセキュリティ実態調査(日本)レポートのデータ分析を行ったKnowBe4 Japanのマーケティング全般を統括するマーケティングマネージャーの広瀬努は、今回のサイバーセキュリティ実態調査結果から日本の現状と今後の対策について次のようにコメントしています。
「生成AIの進化・進展により人の心理を操作するサイバー脅威であるソーシャルエンジニアリングの巧妙化が急速に進んでいます。ディープフェイクを利用した“なりすまし”やディスインフォメーションはますます流行することが予測されます。ソーシャルエンジニアリングによるセキュリティ侵害を防ぐためには適切な教育と訓練によってセキュリティ意識を高める必要があります。企業の活動や個人の生活を守る為には、あらゆる企業や全ての国民にとってセキュリティ意識の向上は必須と言えます。また万が一、被害に遭った場合、その原因や状況を共有することは、より良いサイバーセキュリティ対策を実現する集合知につながります。そのためには、オープンで多様な意見が認められるセキュリティ文化づくりが欠かせません。DXとAIが前提の時代にセキュリティ意識の向上と文化づくりは最も重要なセキュリティ対策と考えます。」
サイバーセキュリティ実態調査(日本)レポートをご希望の方は、https://www.knowbe4.jp/contact-us のお問い合わせフォームに記入してお申し込みください。
<KnowBe4について>
KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。2023年9月現在、6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
*セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング/ランディングページ演習テンプレート(25,000種以上)に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ(378種のインタラクティブトレーニングモジュール、548種の動画トレーニングモジュール、1494種のセキュリティ教育/トレーニングコンテンツ)を提供しています(自社調べ、2024年1月末現在)。
