情報セキュリティの問題は人にあるのでしょうか?
おそらく長年にわたり耳にしてきたと思いますが、人間はセキュリティ チェーンの中で最も弱い部分です。 あらゆるものをクリックする時代に、人間が何かをクリックすることを非難する記事が山ほどあります。 現在、私たちはリンクのクリックに基づいてシステム全体が構築されるこのツールを自由に利用することができます。 「…ちょっとそれをダブルクリックしてみましょう。」というのは、日常のオフィス用語の一部でもあります。 確かに、人間は、鍵をかけていない車の中にノートパソコンを置き忘れたり、コンピューターにパスワードを付箋で貼ったり、感情的な支援要請メールの餌食になったりといった、情報セキュリティに関する愚かな行為を頻繁に行います。
人は誰でも間違いを犯すものであり、誰でも失敗や間違いを犯します。 しかし、組織の防御の最も強力なリンクであり重要な部分である可能性のあるものを非難することも間違いです。
従業員は企業のセキュリティ ポリシーに不満を抱いていることが多く、一般的に、ほとんどの従業員の主な仕事はセキュリティとは関係ありません。 彼らは自分たちの行動がもたらす大きな影響を理解していないのかもしれない。 遵守が困難な複雑なポリシーは、生産性の名の下に危険な回避策につながるだけです。 従業員に不利になるのではなく、従業員に役立つセキュリティ ポリシーを考案することが重要です。
2019年のRSAカンファレンスで650人以上のIT専門家を対象に調査したGuruculによると、約75%が内部からの脅威に対して脆弱だと感じているという。 その中で、ユーザーエラーが39%で懸念事項のトップとなり、悪意のある内部者(35%)とアカウント侵害(26%)がそれに続きました。 さらに、脅威をリアルタイムで検出できると感じた回答者はわずか 34% でした。 また、33% は、インシデントが発生する前に予測するのではなく、インシデント発生後に内部脅威を検出することに重点を置いています。 最後に、40% はデータが社外に出たかどうかをまったく知ることができません。
Critical Infrastructure Technology は、サイバーセキュリティ インシデントのほとんど (意図的なものも偶発的なものも) は内部関係者による何らかの行為の結果であると報告しています。 これまで何年にもわたり、騙されて添付ファイルをクリックしたり、詐欺リンクをクリックさせられたりする事件が数多く発生しています。 フィッシングは最近特に蔓延しており、 F5 Labs が指摘しているように、非常に成功していることが証明されており、現在では最大の攻撃ベクトルとなっています。 実際、フィッシング対策ワーキング グループは、フィッシングが過去 12 年間で 5,753% 増加したと報告しています。 また、 F5 Labs は、調査した侵害事例の 48% でフィッシングが根本的な原因であることを発見しました。
何ができるでしょうか?
確かに、脅威の可能性を減らすのに役立つ技術は存在します。 F5 Labs 2018 フィッシングおよび詐欺レポートでは、外部ソースからの電子メールにラベルを付けて従業員に注意を促すなど、いくつかの防御策を推奨しています。 ウイルス対策、Web フィルタリング、不正対策、シングル サインオン、多要素認証、ボット ブロックなどのテクノロジー、さらにはハニー トークン (攻撃者が一斉にフィッシング メールを送信したときに検出するために監視できるダミーのユーザー アカウントとメール アドレス) の活用などもあります。 潜在的な暗号化された脅威がないか、受信トラフィックと送信トラフィックを復号化して検査することも重要です。マルウェアの 68% は暗号化されたコマンド アンド コントロール サーバーから指示を受けます。
これらすべてによって脅威の表面積を減らすことはできますが、侵入される可能性を完全に排除することはできません。 ソーシャル エンジニアリングの戦術は、インターネットが登場するずっと前から存在していました。
ここでトレーニングが役に立ちます。
人間は、決まりきった習慣に慣れてしまう感情的な生き物です。 何でもクリックすることに慣れている場合は、何が安全で何が危険かを認識するのに助けが必要になります。 したがって、セキュリティ意識向上のトレーニングが重要です。 少なくとも、彼らはクリックしすぎた場合の結果を認識し、攻撃の巧妙さに備えるでしょう。 また、ユーザーは、外部のソフトウェアを実行したり、ログイン資格情報を提供したりする前に、疑わしい電子メールを報告し、IT 部門またはセキュリティ部門に確認するよう強く勧められる必要があります。
F5 Labs 2018 フィッシングおよび詐欺レポートによると、Webroot のテストでは、セキュリティ意識向上トレーニングをより多く実施すればするほど、従業員がリスクをより適切に発見して回避できるようになることが示されています。 1 ~ 5 回のトレーニング キャンペーンを実行した組織では、フィッシングのクリックスルー率が 33% 低下しました。6 ~ 10 回のキャンペーンを実行した組織では、クリックスルー率が 28% に低下しました。11 回以上のトレーニング キャンペーンを実行した組織では、クリックスルー率が 13% に低下しました。 また、フィッシングのシミュレーションとキャンペーンは、コンテンツが最新かつ関連性がある場合に最も効果的であることがわかりました。 つまり、セキュリティ意識向上トレーニングを実施していない企業では、ユーザーが少なくとも 3 分の 1 のフィッシング攻撃をクリックすると予想できます。 トレーニングは違反行為よりも常に安価です。
トレーニングに関しては、 F5 Labs は、トレーニングは簡潔で、関連性があり、個人向けで、解決可能なものであるべきだと提案しています。 セキュリティは、関係者全員が積極的に情報に基づいた参加をすることでのみ管理可能な問題として扱います。 セキュリティ意識向上トレーニングは、すべてのユーザーに直接話しかけ、共通の目的への参加を促す最適な機会です。
友達に試してもらえる楽しいものをご紹介します。 「私はサイバーの専門家です。パスワードを教えていただければ、それが安全かどうかお教えできます。」と言います。 何人が答えるか見てみましょう!