サイバー攻撃の人的防御対策への注力は高まってきているが、まだ十分ではない
東京(2023年8月23日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダー(*)であるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、日本企業および団体向けに、 日本語版2023年度版業界別フィッシングベンチマーキング調査レポートをリリースしたことを発表します。
KnowBe4では、社員ひとり1人がどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するために、6万社を超える企業や団体が利用するセキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームでPPP (Phishing Prone™ Percentage:フィッシング詐偽ヒット率) を測定し、データとして集計しています。本レポートはPPPを業界別のベンチマーキングとして統計分析したものです。
KnowBe4は、19の異なる業種における3,210万回以上の模擬フィッシング訓練/フィッシング攻撃テストの結果を集計し、35,681の組織における1,250万人以上のユーザーのデータセットを分析しています。KnowBe4では、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標「PPP(Phishing Prone™ Percentage:フィッシング詐偽ヒット率)」を集計しています。これによって、どれくらいの従業員が誤って摸擬フィッシングメールのリンクをクリックした、または感染した添付ファイルを開いたかを可視化しています。
ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、驚くべき改善が見られました。90日間のKnowBe4のトレーニングとフィッシング演習の結果、全世界の平均PPPスコアは、33.2%から18.5%へと大きく減少しています。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5.4%までに減少しています。これは、KnowBe4のトレーニングとフィッシング演習が新しい行動習慣を常態化し、より強固なセキュリティカルチャーを醸成していることを示す驚くべき成果です。
また、本レポートでは、どの業界がサイバー脅威に対して最も脆弱で、PPPが最も高い業種かを集計分析することで、セキュリティ意識向上トレーニングの必要性が高い業界を解明しています。小規模組織(1-249名)と中規模組織(250-999名)では、医療・介護および製薬業界が、それぞれ32.3%と35.8%と最も高いPPPとなっています。大規模組織(1000名以上)では、保険業界が2年連続で最もリスクが高く、PPPは53.2%で、2022年から変化していません。
本レポートでは、総論として、「サイバー攻撃の人的防御対策への注力は高まってきているが、まだ十分ではないという」所見を提示しています。 米Verizon社の2023年度版Verizonデータ侵害調査報告(Verizon 2022 Data Breach Investigations Report) は、今年のデータ侵害の74%は人的要素が関与していると報じています。これは昨年の82%から改善されたものの、昨年引き続き、従業員に的確なセキュリティ意識向上トレーニングを実施することで、サイバー攻撃の人的要素に焦点を当てた取り組みを継続することは不可欠です。
さらに、本レポートでは、北米、英国、アイルランド、ヨーロッパ、アフリカ、南米、アジア(日本を含む)、オセアニア(オーストラリア/ニュージーランド)のフィッシングベンチマーク結果を地域別に集計分析を行っています。
日本を含むアジア地域の考察(ページ26)を見ると、2023年 IBM脅威インテリジェンス・インデックスよるとアジア太平洋地域が2022年中に最も多くのサイバー攻撃に遭遇し、2022年に監視された全インシデントの31%をアジア太平洋地域が占めたことが報告されています。中でもトップである日本は、2022年にEmotet(エモテット)というマルウェアの攻撃を受け、大きな打撃を被りました。警察庁の発表によると、2022年のサイバー犯罪件数は12,369件 (2021年の160件から増加) と過去最高を記録しています。また、ビジネスメール詐欺 (BEC) や分散型サービス妨害攻撃 (DDOS) を介した恐喝などが、日本全体で多く報告されています。また、The State of Financial Crime 2022では、Key Takeaways for Asia Pacific Firms (金融犯罪の現状2022:アジア太平洋地域の企業に関するまとめ)の中で、国連薬物犯罪事務所 (UNODC) は、日本のサイバー犯罪が600%増加したと報告しています。
KnowBe4 Japanの営業組織を率いる営業統括本部長ガブリエル・タンは、日本語版2023年度版業界別フィッシングベンチマーキング調査レポートのリリースについて次のようにコメントしています。
「サイバーセキュリティの現状を直視していただきたい。ITセキュリティ製品への支出は増加し続けていますが、データ侵害の報告件数は、一向に減少しません。ここには、本レポートの冒頭でも指摘していますが、サイバー攻撃者は「人」が最も脆弱なリンクであり、「人」を攻撃することが最も容易かつ安価な攻撃であることと考えていることです。ほとんどのサイバー攻撃被害は、従業員の不注意な行動から始まっています。日本においては、人的防御の重要性を大企業は理解し始め、多くの大手企業がセキュリティ意識向上トレーニングを採用してきていますが、まだ中堅・中小企業における人的防御の重要性の認識は低いと言わざるを得ません。最近の多くのインシデントは、大手企業の傘下にある組織や現地法人などのITセキュリティが手薄なところから始まっています。KnowBe4の業界別フィッシングベンチマークレポートの調査結果は、新しいスタイルのセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)と模擬フィッシング攻撃演習のシミュレーションの有効性を実証するものです。教育を受けた従業員は、強力なヒューマンファイアウォールを形成し、安全なサイバー習慣を実践し、強固なセキュリテを構築する鍵となります。是非、日本語版2023年度版業界別フィッシングベンチマーキング調査レポートを一読して、人的防御対策を見直していただきたい。」
日本語版業界別フィッシングベンチマーキング調査レポートをご希望の方は、KnowBe4 Japan合同会社まで電話(03-4586-4540)または お問い合わせフォーム( https://www.knowbe4.jp/contact-us )にてお問い合わせください。
<KnowBe4について>
KnowBe4は、人的防御層(ヒューマンデフェンス・レイヤー)の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。2023年5月現在、6万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
*セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング/ランディングページ演習テンプレート(23,000種以上)に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ(343種のインタラクティブトレーニングモジュール、561種の動画トレーニングモジュール、1459種のセキュリティ教育/トレーニングコンテンツ)を提供しています((2023年6月末現在 自社調べ)。