セキュリティチームにセキュリティ問題を報告することに「全く抵抗がない」と回答した回答者は、全回答者の約半数
東京(2022年2 月17日発) – セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、世界でのセキュリティに対する考え方・アプローチや行動、ポリシーなどの共通点や違いに加えて、オンライン詐欺を見抜く回答者の自信を調査するために、英国ロンドンに本拠を置く市場調査会社「Censuswide」に委託して、アンケート調査を2021年第4四半期に実施しました。今回の調査では、オンライン詐欺対策やセキュリティ意識向上トレーニングの取り組みで先行している米国、英国、ドイツ、オランダ、ノルウェー、南アフリカの6カ国を調査対象国として選び、6000人以上の企業および団体の業務に従事している従業員からデータが収集しました。本プレスリリースは、このアンケート調査を日本語に翻訳し、欧米諸国の現状を探求するために作成しました。
KnowBe4は、2020年2月に100%出資の日本法人「KnowBe4 Japan合同会社」を設立し、日本市場での実績を着実に伸ばしてきました。この2年間で、日本市場におけるセキュリティ意識向上トレーニングの認知は継続的に向上していますが、KnowBe4 Japan合同会社はまだ日本企業のセキュリティ意識に対する現状は欧米企業に比べて数年遅れを取っていると考えています。実際に、本調査によると、今回の調査対象国の欧米諸国では、セキュリティ意識向上トレーニングを行っていないと回答した回答者のわずか22%です、言い換えれば、78%がなんらかのセキュリティ意識向上トレーニングを実施していることです。また、回答者の大多数(87%)が、セキュリティ上の問題、違反、ミスをセキュリティチームに報告することに、全く抵抗はない、あるいはほとんど抵抗ないと感じていると回答しています。この欧米諸国での調査で問題視すべきことは、セキュリティインシデントをITチームに報告することに全く抵抗がない回答者は約半数の約53%にとどまっていることです。「ほぼ抵抗がない」の約34%をどのように解釈するにはよりますが、平均以上のコンピューターセキュリティの意識を持っている回答者のほぼ半数がセキュリティインシデントの報告に何らかの対抗があることは、大きな問題です。サイバー攻撃が巧妙化し続ける中、セキュリティ事故の発生を完全に防ぐことは不可能です。セキュリティ事故が発生した場合に、大惨事に至らないようにするためには、速やかに報告することは基本です。欧米諸国においても、セキュリティ人材が不足する中、増え続けるセキュリティインシデントの報告にセキュリティチームがどのように対応するかが問題になっていることを示唆していると思われます。これは、「なぜセキュリティチームに報告することに抵抗があるか」の設問の回答(インシデントを報告するプロセスが面倒:36.66%、セキュリティチームに問題を報告する方法がわからない:23.58%)にその要因が示されています。
KnowBe4のCEOであるStu Sjouwermanは、今回欧米諸国でのセキュリティ対策の現状とアプローチについてのアンケート調査について次のようにコメントしています。
「この調査から得られた大きな収穫のひとつは、セキュリティカルチャーとセキュリティ行動の習慣化は「人」による防御レイヤーを構築する上で重要な要素であるということです。強固なセキュリティカルチャーを醸成するためには、国や地域によって、セキュリティに対するユーザーの態度や行動が異なることを理解することが必要です。そのため、セキュリティ意識向上トレーニングは、単に翻訳するだけでなく、各地域に合わせた地域化(ローカライズ)することが重要です。効果的なセキュリティ意識向上プログラムには、地域ごとの異なる文化、言語、国民性を配慮した調整が不可欠です。今回の調査は、KnowBe4が今後計画している数多くの取り組みの1つに過ぎません。セキュリティ行動を改善し、組織内に強力なセキュリティカルチャーを根付かせ、醸成することの重要性を確認しているKnowBe4の基本理念をさらに強調する1つのステップとなるものです。」
また、KnowBe4のリード・セキュリティアウェアネス・アドボケートであるJavvad Malikは、次のように述べています。
「長年にわたり、セキュリティチームは同僚から否定的に描かれることが多く、効率化の障害、規則の厳格な執行者、少なくともとらえどころのない存在と見なされてきました。しかし、今回の調査では、その認識が変化していることが示されました。セキュリティチームは、従業員にとって信頼できる頼もしい存在になりつつあり、サイバー犯罪の発生率が過去最高を記録している今、これほど良いタイミングはありません。また、一般の人々の間でも、セキュリティに対する高い意識が見られるようになったのは、喜ばしいことです。」
全レポート(日本語版)については、Fin_J_Security-Habits-2021.pdf をアクセスしてください。
<KnowBe4について>
KnowBe4(NASDAQ: KNBE)は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年1月現在、4万4千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
