第4回「Beyond the Phish」年次レポート(2019年)では、Proofpointのお客様のエンドユーザーにおけるサイバーセキュリティ知識レベルを調査しました。本年度のレポートでは約1億3000万件のサイバーセキュリティ問題の回答データを分析し、14のカテゴリー、16の業界、20以上の共通部門分類について、ユーザーの知識レベルに関する知見を提供しています。
このセキュリティ意識向上トレーニング に関する調査では以下が明らかになりました。
- 「フィッシング攻撃の識別」と「ライフサイクル全体を通したデータの保護」での全体誤答率は25%でした。
- 一番成績が良かった部門はコミュニケーション部門で、ユーザーは平均して84%の問題に正解しました。
- 一番成績が良かった業界は金融業界で、ユーザーは平均して80%の問題に正解しました。
- 一番成績が悪かった部門はカスタマーサービス、設備、セキュリティ部門で、サイバーセキュリティに関する質問の25%を間違えました。[1]
- 教育及び運輸業界のユーザーが最も苦戦し、全カテゴリーで24%を誤答しました。
- 保険業界のユーザーは14カテゴリー中3カテゴリーで最も良い成績をあげ、特に「ランサムウェア攻撃の回避」では非常に正答率が高くなりました。
- ホスピタリティ業界のユーザーは3つのカテゴリーで最低スコアをマークし、特に「物理的セキュリティリスク」では22%の質問に誤答しました。
なぜ「フィッシングの先(Beyond the Phish)」を見据えるのか
フィッシングは依然として世界中の組織にとって一番の懸念事項です。2019年の 「State of the Phish」レポートで明らかになったように、2018年には全世界で83%の組織がフィッシング攻撃にあっており、エンドユーザーの教育の必要性が高まっていることがわかります。
しかしエンドユーザーのリスクの根源はメールベースの攻撃だけではありません。例えば、
- エンドユーザーがソーシャルメディアで不注意から重要な情報を公開してしまうと、サイバー犯罪者はそれを利用して様々な標的型攻撃やもっともらしいソーシャル攻撃を仕掛けてきます。これにはフィッシング、ビッシング(電話などを使った音声でのフィッシング)、スミッシング(SMS/テキストメッセージでのフィッシング)、ビジネスメール詐欺(BEC)などが含まれます。
- データ管理や物理的セキュリティプラクティスが不十分であると、機密情報や専有情報の漏洩、損失、盗難などを引き起こします。
- パスワード保護が不十分であると、クレデンシャルが盗まれて組織のシステムやデータに不正アクセスされることがあります。
- セキュリティ意識が低いユーザーは意図せずして内部脅威になってしまいます。
多くの組織ではエンドユーザーの脆弱性の評価とサイバーセキュリティのベストプラクティス教育を、フィッシング攻撃のシミュレーションと不定期のトレーニングに頼っています。サイバー犯罪者は攻撃の範囲をエンドユーザーにまで広げています。サイバー攻撃の予防策の一部にのみフォーカスした教育だけでは、職場やプライベートでのセキュリティを脅かすような行動にユーザーが自ら気付き、正すまでには至りません。
Proofpointのセキュリティ意識向上トレーニング戦略及び開発担当バイスプレジデントのAmy Bakerは次のように述べています。「エンドユーザーの行動がセキュリティ体制全体に与える影響を考えると、継続的で強力なセキュリティ意識向上トレーニングプログラムが不可欠です。この年次レポートでは、フィッシングテストだけではエンドユーザーの弱点とサイバー脅威知識を評価することはできないということが明らかになりました。
攻撃が全てのセキュリティインシデントを引き起こすわけではありません。多くのインシデントは、セキュリティ意識が低くセキュリティプラクティスが不十分であることが原因となって発生しているのです。Proofpointの調査では、全てのサイバーセキュリティ問題に関して適切に管理された継続的トレーニングを行えば、エンドユーザーの行動は大幅に改善されることが分かりました」
レポートをダウンロードしてご覧ください
世界中の企業が、最新のサイバー攻撃やベストプラクティスについての教育にProofpointを利用しています。サイバー犯罪者は攻撃対象をインフラからユーザーにシフトしているので、人を中心としたセキュリティアプローチを使って効果的な教育を行うことが不可欠です。
以下から、2019年の「Beyond the Phish」レポートをダウンロードでき、カテゴリー、部門、業界別比較の全リストをご覧になることができます。2019年の Beyond the Phish 調査結果を更に詳しく確認したい場合は、8月28日の SecureWorld オンラインセミナー「Beyond the Phish: エンドユーザーの行動のスナップショット」にご登録下さい。このコンテンツはライブでもオンデマンドでもアクセス可能です。またCPEクレジットも付与されます。
[1] 部門分類は回答者が定義した分類に沿っています。例えば、セキュリティ部門には物理的セキュリティとサイバーセキュリティの両方を含む可能性があります。