CISOは、情報セキュリティ管理のベストプラクティスは、テクノロジーだけでなく人材にもかかっていることを理解しています。従業員と強固なセキュリティ文化がなければ、テクノロジーを導入しても、組織への侵入を続ける脅威アクターを阻止することはできません。
アジア太平洋地域の従業員は、このメッセージを理解していないようだ。サイバーセキュリティ企業Proofpointは最近、オーストラリア、日本、韓国、シンガポールを含む15カ国で7,500人の従業員と1,050人のセキュリティ専門家を対象に調査を実施した。その結果、アジア太平洋地域では、多くの従業員が、リスクを認識しながらも、不適切なウェブサイトにアクセスするなど、セキュリティ侵害のリスクを高める行動をとっていることが明らかになった。
多くの従業員は、利便性とスピードの必要性を理由に挙げています。また、地域全体でサイバーセキュリティの教育と意識向上に投資が行われているにもかかわらず、多くの従業員が依然としてセキュリティに関する責任を明確に理解していない、あるいはそれは他人の仕事だと考えています。
危険な行動を取っている従業員は何人いますか?
ProofpointのState of the Phishレポートによると、アジア太平洋地域の調査対象4カ国の従業員の63%がセキュリティに関してリスクを負っていることが分かりました。さらに憂慮すべきなのは、従業員の大部分(98%)が、自分が行っていることがリスクを伴う行為であることを知りながらも、それを実行していたことです。
参照: オーストラリアにおけるサイバー セキュリティの主要なトレンドを常に把握しましょう。
しかし、日本の従業員はサイバーセキュリティリスクを最も少なく取っています。日本の回答者の半数以上(53%)は、リスクの高い行動を一切取らないと回答しており、世界平均は29%です。Proofpointは、日本の文化的価値観と規律を重視する姿勢が、日本のセキュリティ行動における比較的優れたパフォーマンスの背後にあるのではないかと推測しています。
アジア太平洋地域の従業員は、世界市場の従業員よりもリスクが少ない
アジア太平洋地域の従業員は、世界平均と比較してリスクを取る傾向が低いものの、リスクを取るべきではないと認識しながらもリスクを取る傾向が強いことが示されています。Proofpointの世界統計によると、世界中のユーザーの71%がリスクの高い行動を取っており、リスクの高い行動を取る従業員の95%は、自分が取っているリスクを認識しています。
従業員はどのような危険な行動を取っていますか?
Proofpointの調査によると、セキュリティ専門家が挙げた上位5つのリスクのうち4つは、ユーザーの間でよく見られる行動であることがわかりました。例えば、サイバーセキュリティ専門家が挙げた上位5つのリスクである「不適切なウェブサイトへのアクセス」は、従業員の間で4番目に多いリスク行動でした(図A)。Proofpointは、従業員がこれらのリスクを認識していない可能性を示唆しています。
この地域で調査対象となった従業員が最も多く認めたリスクの高い行動は、仕事用のデバイスを私的な活動に使用することでした。これはフィッシング攻撃の被害に遭う可能性を高める可能性があるにもかかわらず、このような行動がとられています。例えば、従業員は個人アカウントで受信したフィッシングメールをそのまま信じてしまい、セキュリティリスクに陥る可能性があります。
また、従業員はパスワードを再利用または共有したり、公共の場所で VPN を使用せずに仕事用のデバイスに接続したり、知らない人からの電子メールや SMS メッセージに返信したりすることも積極的に行っていました。
従業員はなぜ危険な行動を取っているのでしょうか?
従業員が危険なサイバーセキュリティ行動に従事する主な理由を明らかにしました。
- 54%は、より便利だからという理由でリスクを負いました。
- 38% は仕事の時間を節約するためにそうした。
- 23% は、緊急の期限によって行動が促されました。
従業員がサイバーセキュリティに関してリスクを負うあまり一般的ではない理由も明らかになりました。
- 19%はお金を節約するためにリスクを負いました。
- 19% はパフォーマンス目標を達成するために手抜きをしていました。
- 11% は事業収益目標を達成しようとしていました。
プレミアム: 情報セキュリティ ポリシーで組織を保護します。
セキュリティ責任について確信を持てない従業員
調査対象となった世界の従業員の中で、サイバーセキュリティに対する自身の責任について不確実性があると回答した割合が最も高かったのは、アジア太平洋地域の従業員でした。Proofpointの調査によると、同地域では57%の従業員が自身の責任について不確実性があると回答しており、世界全体では54%でした。
調査では、ITセキュリティチームが従業員の責任意識レベルを過信していることが明らかになりました。調査対象となったITセキュリティ担当者の84%が、従業員はセキュリティの責任を自分たちにあると認識していると回答した一方で、従業員自身はセキュリティを自分の責任の一部とみなしていると回答したのはわずか39%でした(図B)。
アジア太平洋地域の組織は従業員の問題について何ができるでしょうか?
アジア太平洋地域のサイバー専門家は、サイバーセキュリティに関する従業員の責任を明確に理解させる必要があることは間違いありません。実際、アジア太平洋地域は2023年のサイバー犯罪増加の「震源地」とされ、2023年第1四半期の週次サイバー攻撃件数が前年比で過去最高を記録しました。
サイバーセキュリティのベストプラクティスの遵守を容易にする
Proofpointの調査では、従業員がより都合の良い時や時間を節約できる時にリスクを負っていることが明らかになりました。サイバーセキュリティの専門家は、安全な慣行を可能な限りシンプルにし、従業員が正しい行動をとる上で直面する障壁を取り除く努力をすることでのみ、このリスクを軽減することができます。
プレミアム: セキュリティ警告には電子メール テンプレートの使用を検討してください。
例えば、ITチームと連携して、効率的なITヘルプデスクへのスムーズなアクセスといったシンプルなことを実現することも含まれます。これにより、VPNへのアクセスがスムーズになり、安全でないネットワークへの接続を回避し、アカウントやパスワードの問題に対処して、パスワード共有の誘惑を排除することができます。
プルーフポイントは調査の中で、「セキュリティポリシーを導入する際には、ビジネス関係者と協力し、使いやすさを最優先に考えましょう」と述べています。「セキュリティがユーザーの目標と合致していれば、システムを回避する傾向は低くなります。また、直感的でトレーニングを必要としない制御であれば、ユーザーはより積極的に利用します。」
サイバーセキュリティの意識と文化を構築するための教育
教育と意識向上は引き続き重要な役割を果たします。この地域の従業員の多くは、情報セキュリティ管理における自らの役割について依然として不明確な点が多いため、脅威への理解を深めるのに役立つ魅力的なサイバーセキュリティ研修リソースの提供への投資を強化することは理にかなっています。
これには、サイバーセキュリティ専門家にとっての主要なリスクに焦点を当てたトレーニングリソースが含まれます。従業員は、フィッシングやマルウェアのリスクを高める可能性のあるリンクのクリックや添付ファイルのダウンロードといった行為について、より詳細な情報を得ることができ、同時に、組織外からのメールをフラグ付けするツールによるサポートも受けることができます。
強固なサイバーセキュリティ文化の構築は、最終的な目標です。従業員をサイバーセキュリティに積極的に関与させることに成功している組織は、多くの場合、従業員を組織全体の問題発見に積極的に参加させています。例えば、フィッシング詐欺の報告用のSlackやコミュニケーションチャネルは、報告の場、健全な競争、そして従業員への報酬の場として機能します。
