KnowBe4 がセキュリティトレーニングの視点からのサイバーセキュリティ実態調査を日本で実施



サイバーセキュリティの人的防御対策において日本が立ち遅れているか?

 東京(202336日発) - セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダー*であるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、日本市場におけるセキュリティ教育(セキュリティ意識向上トレーニング)の現状について調査するために、日本企業・団体のオフィスワーカーとIT意思決定者を対象に実態調査を2022年12月に実施し、その調査結果を実態調査レポートとしてまとめました。

 画像1-2KnowBe4では、これまで、サイバーセキュリティの人的防御対策において日本が立ち遅れていることを指摘してきましたが、その実態については日本市場での調査は実施してきませんでした。また、日本では、独立行政法人情報処理推進機構(IPA)などが情報セキュリティに対する意識調査や実態調査**を実施していますが、セキュリティトレーニングの視点からのサイバーセキュリティ実態調査は行われていません。このたび、KnowBe4では、日本のほか、オーストラリアおよびシンガポールにおいても同一設問でサイバーセキュリティの人的防御対策について実施し、日本が実際に他の地域に比べてセキュリティ教育(セキュリティ意識向上トレーニング)の実施において立ち遅れているのかを調査しました。今回の実態調査は、不特定多数を対象にした、開かれた調査とするために、KnowBe4の社名は一切公開せずに行われました。日本においては、2022年12月9日~14日の間に日本企業および団体を対象に無作為抽出でオンラインにて実施されました。本調査アンケートは、日本においては株式会社日本リサーチセンター(NRC)と共同で、英国市場調査会社YouGov社によって日本語によって収集され、YouGov社によって統計集計され、その後、KnowBe4 Japanが分析しました。日本での調査対象者およびサンプル数は次の通りです。

  • 日本企業・団体のオフィスワーカー 1,038名(業種不問)
  • 日本企業・団体のIT意思決定者 225名(業種不問) 

 KnowBe4では、本実態調査の集計結果を次の9つの注目ポイントとしてまとめています。

  • 業務環境でのメール/SMSの利用について
  • フィッシングとBEC(ビジネスメール詐欺)のリスクについて
  • 職場でサイバーセキュリティのトレーニングについて
  • ITチームの支援について
  • 2023年に投資/支出を計画しているサイバーセキュリティ対策について
  • セキュリティカルチャーについて
  • フィッシングメールの見極めについて
  • サイバーセキュリティ攻撃から組織を守る責任の所在について
  • サイバーセキュリティ対策における政府の責任について

 さらに、KnowBe4 Japanが日本、オーストラリア、シンガポールの3地域の調査結果を比較することで、日本におけるサイバーセキュリティ対策の現状を次の7つから考察しています。

  •  サイバーセキュリティトレーニングの受講状況と受講者の評価
  • フィッシングへの対応・報告とフィッシングを見抜く自信
  • サイバーセキュリティリスクの現状
  • サイバーセキュリティ攻撃から組織を守る責任の所在
  • フィッシングとBEC(ビジネスメール詐欺)のリスク
  • ITチームの支援について
  • セキュリティカルチャーについて

 総論としては、KnowBe4 Japanは次のようにこの7つのポイントを分析しています。

  •  最初の考察ポイント「サイバーセキュリティトレーニングの受講状況と受講者の評価」から、サイバーセキュリティ教育を受講したことがない日本のオフィスワーカーは半数以上の51%で、オーストラリアとシンガポールと比べて、日本の受講率は明らかに低い結果となっています。KnowBe4が「New School」呼ぶような新しい形態のセキュリティトレーニングがどれだけ受講されているかは、日本は他の2地域より遅れを取っていると考えられます。日本市場では集合型のセキュリティ教育が主流で、セキュリティ意識向上トレーニングは大手企業では浸透し始めたものの、まだ中堅・中小企業でのセキュリティ意識向上トレーニングは緒についたばかりとKnowBe4 Japanは分析しています。
    画像2-1
  • 2つ目の考察ポイント「フィッシングへの対応・報告とフィッシングを見抜く自信」から、フィッシング攻撃を受けた場合にどのような対応を取っているかが分析できます。日本のオフィスワーカーの5人に3人(57%)が疑わしいメールに的確に対応していると思っているが、セキュリティ担当のITチームに報告していると答えた人は5人に1人(18%)に過ぎないという調査結果から日本のサイバーセキュリティ体制(最高情報セキュリティ責任者や専任セキュリティ担当者などを含む人的配置)が総体的にはまだ十分ではないかと考えられます。
  • 考察ポイント3 「サイバーセキュリティリスクの現状」の調査結果では、日本は他の2地域に比べて良好となっています。日本企業の多くは、セキュリティポリシー(業務規程)で、BYOD(個人所有)デバイスの業務システムへの接続を厳しく制限していることがこの結果に反映していると思われます。また、会社支給のPC・携帯やメールアドレスの管理に対する意識レベルは他の2地域に比べて高いと考えられます。
  • 考察ポイント4 「サイバーセキュリティ攻撃から組織を守る責任の所在」と考察ポイント5 「フィッシングとBEC(ビジネスメール詐欺)のリスク」から見えてくることは、サイバーセキュリティに関する責任所在が日本の組織では曖昧になっているのではないであろうかと推測されます。
  • 考察ポイント6 「ITチームの支援について」で明らかにされているのは、37%の日本のオフィスワーカーが、支援を依頼するITチームがいないと回答していることです。これは、考察ポイント2でも指摘されているが、日本におけるITセキュリティ人材の不足にその要因があると考えられます。
  • 考察ポイント7 「セキュリティカルチャーについて」で指摘されたことは、セキュリティカルチャーの基本的な認知と理解は、日本と他の2地域とは大きな差があることです。日本においては、セキュリティカルチャーの基本的な認知と理解を促進する必要があり、セキュリティという文化を組織全体に根付かせて、巧妙化するサイバー攻撃に抜本的に立ち向かうことを訴求していかなければならないことをこの調査結果は明確に示しています。

 KnowBe4 Japanの営業活動全般を総括するガブリエル・タンは、本実態調査について、次のようにコメントしています。
「KnowBe4がこれまで指摘してきたように、本実態調査はサイバーセキュリティの人的防御対策において日本が立ち遅れていることを明らかにしています。ここに来て、サイバー攻撃は大規模組織から小規模組織へとそのターゲットを拡大してきています。今、組織の規模を問わず、現行のサイバーセキュリティ対策を再検討すべきです。米国サイバーセキュリティ調査会社であるCybersecurity Venturesは、サイバーセキュリティの最新のレポートで、2023年にサイバー犯罪の被害コストが8兆米ドルに達すると報じています。この被害コストを国家の経済規模に換算すると、サイバー犯罪はなんと、米国、中国に次いで世界第3位の経済大国となります。サイバー攻撃集団は、組織を上げて、日本企業・団体を狙っています。日本は、今まで、日本語という言語障壁で守られてきました。サイバー攻撃者は、ChatGPTなどのAIツールを駆使して、この障壁を超えて、詐欺行為を仕掛けてきています。サイバー攻撃は明らかに詐欺犯罪です。これに立ち向かうためには、セキュリティ教育から行動変化を起こし、これを習慣化して、行動変容・セキュリティカルチャーの醸成につなげることが必要であることを認識しなければならないのです。」

 2023年3月23日(木)に開催される日経クロステック主催の情報セキュリティ戦略セミナー2023で「日本のサイバーセキュリティ/人的防御対策の現状と今取るべきアクションプラン」と題してガブリエル・タンが講演します。その中で、本実態調査の考察について解説します。本講演の視聴をご希望の方は、次のURLへアクセスして、お申し込みください。
https://project.nikkeibp.co.jp/event/se230323

 また、本実態調査レポートをご希望の方は、KnowBe4 Japan合同会社までメール( info@knowbe4.jp )または03-4586-4540 まで電話にてお問い合わせください。

 KnowBe4について>
KnowBe4は、人的防御層(ヒューマンデフェンス・レイヤー)の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年12月現在、5万6千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。

 *セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング/ランディングページ演習テンプレート(19,000種以上)に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ(350種のインタラクティブトレーニングモジュール、546種の動画トレーニングモジュール、1437種のセキュリティ教育/トレーニングコンテンツ)を提供しています(20221227日現在)。

 **独立行政法人情報処理推進機構(IPA)が情報セキュリティに対する意識調査や実態調査については、https://www.ipa.go.jp/security/products/products.html を参照してください。

Topics: KnowBe4, ガブリエル・タン, サイバーセキュリティ実態調査, 情報セキュリティ戦略セミナー2023

Get the latest about social engineering

Subscribe to CyberheistNews