サイバー犯罪者が常にサイバーセキュリティ企業の一歩先を行くように見えるのは、実際にそうだからです。サイバーセキュリティの意識向上トレーニング市場は2027年に100億に達すると予想されている一方で、サイバーセキュリティ支出は2022年までに1338億ドルに達すると予想されています。しかしながら、このような支出の結果は目下の現実に反映されていません。サイバー犯罪は進化し続け、攻撃はますます洗練
されてきており、人も技術もその変化についていけません。
サイバーセキュリティ侵害は、全体で2014年以来67パーセントも増加しています。中小企業の66パーセントが過去12か月間にサイバー攻撃に苦しんでいると報告しており、49パーセントがランサムウェア攻撃を受け、そのうちの78パーセントが身代金を支払っています。
これらの攻撃とその他の数千件の攻撃による集団的損失は克服不可能であるため、この状況が悪化する見通しは決定的です。サイバーセキュリティの意識向上は、価値ある投資ではありますが、それ自体がサイバーセキュリティではありません。
サイバーセキュリティ意識とサイバーセキュリティ警戒の違い
サイバーセキュリティの意識向上トレーニングは、サイバー攻撃の人間的な要素、つまりビジネスシステムやデータへアクセスするチャンスを与えるようなミスに賢く焦点を当てています。トレーニングでは、難解なパスワードを選んで、それを頻繁に変更して他で同じパスワードを使用しないこと、そして、フィッシングリンクを決してクリックしないこと、その他さまざまなベストプラクティスを実践するように教えられます。完璧な世界ならば、私たちはこれらのルールを守ることができるでしょう。
しかし、私たちの多くが生きているこの不完全な世界では、これらのベストプラクティスは簡単に忘れられて、無視されてしまうことがよくあります。トレーニングを実施している企業は、多くの場合年に1回ベースでセッションを行っています。しかしこれでは、あまりにも時間が空きすぎて、従業員は学習したことをすべて忘れてしまうでしょう。そのうえ、12か月の期間があれば、サイバー犯罪者は先に行われたトレーニングセッションが時代遅れになってしまうやり方で攻撃の手法を進化させます。
ほとんどのトレーニングプログラムは、サイバーセキュリティにおける推奨事項と禁止事項を教えて、問題に対するユーザーの意識を向上させますが、今から数か月後も従業員が日々の業務をつつがなく行い、彼らがトレーニングで学んだことを考慮するとは保証できません。ですから、警戒が必要です。違いは、「意識する」ということは、サイバー攻撃が起きる可能性を認識しているということであり、一方、「警戒する」ということは、攻撃を予測し、実際に攻撃を受けた時に素早く行動して反応することです。
つまり重要なのは、企業のマインドセットをサイバーセキュリティ意識からサイバーセキュリティ警戒にどのように転換するのかということです。
テクノロジーはソリューションの一部に過ぎない
テクノロジーは急速に変化します。そしてハッカーたちはさらに速く変化します。大半の企業が、自社のテクノロジーを最新の状態に保つために莫大な金額を費やしていますが、サイバー犯罪者とサイバーセキュリティ会社のいたちごっこに終わりはありません。ソフトウェアのパッチがリリースされる。新たな脆弱性が現れる。ランサムウェアの複合キーがリリースされる。改善されたひずみが後に続く。フィッシングメールが阻止される。数日後に同じフィッシングメールが新しいIPアドレスから送信される。テクノロジーは始まりですが、テクノロジーはサイバーセキュリティではありません。
すべての脅威を阻止できるサイバーセキュリティソリューションはありません。そのため、補強が必要になりますが、それは時にサイバーセキュリティにおける最大の弱点とも呼ばれる人間の形で提供されます。実際に、人々はテクノロジーが検出に失敗した場合の最後の防衛線となります。そのため、ハッカーは常に従業員がミスをするように操ろうとします。
警戒状態のコミュニティを作る
Accentureによると、マルウェアとランサムウェア攻撃が2桁で増加し、人に焦点を当てたサイバー攻撃は昨年他のどの種類の攻撃よりも増加しました。2019年データ侵害調査レポート(2019 Data Breach Investigations Report)で、Verizonは、フィッシングとプリテキスティングがソーシャル攻撃全体の98パーセントを占め、データ侵害の93パーセントを占めていることを明らかにしました。ハッカーが貴社の従業員をつけ狙う場合、それは前述の脅威のどれかを使って行われるでしょう。
従業員がフィッシングリンクをクリックする確率はフィッシング意識向上トレーニングによって低くなっていますが、報告率は依然として悲惨なものです。Verizonによれば、IT部門に報告されるフィッシングメールは、わずか17パーセントに過ぎません。この矛盾から、従業員がフィッシングメールをより確実に認識できるとしても、フィッシング対策技術がどのように機能するのか、そして報告することがソリューションの有効性にいかに重要であるかを彼らが全く理解できていないことが分かります。
サイバーセキュリティ意識向上トレーニングの一環として、ユーザーは、フィッシングテクノロジーがユーザーを守るためにどのように機能するのか、そのテクノロジーを改善するためにユーザーに何ができるのかを学ばなければなりません。例えば、IT部門にフィッシングメールを報告すると、ユーザーには理解できないような一連のイベントが開始されます。
フィッシングメールを見逃したメールフィルターは、もしハッカーが同じメールを再び送信しようとした(おそらくそうするでしょう)場合に、それを認識できるように微調整されなければなりません。ブラックリストにIPを追加するだけでは不十分です。新しいルールを作成しなければならず、また、人々のインプットに依存するAIアルゴリズムは追加の訓練を受けなければなりません。ユーザーがフィッシングメールを報告せずに削除してしまうと、それらの軽減アクションはどちらも実行されません。そのメールは再び出現し、最終的に誰かがクリックすることになるでしょう。
そのメールを二度と受信しないための最善の方法は、AIエンジンの改善に必要なデータを提供することです。つまり、ユーザーとAIの間のフィードバックループが重要です。その結果、正しい判断ができるようになり、ミスをした場合には自ら修正できるさらにインテリジェントで自律型のエンジンが生まれます。
ユーザーをトレーニングして彼らを保護するエンジンの仕組みを理解させることで、ユーザーは人間がターゲットにされた場合のサイバーセキュリティの限界を知り、エンジンを強化するための自らの役割を認識することができます。テクノロジーの発展に自分が積極的に関与していることを知り、テクノロジーの改善によってもたらされるメリットを体験すれば、ユーザーは積極的に報告するようになります。サイバーセキュリティの専門家がコミュニティを形成するのと同じ方法で(しばしば競合ベンダーで構成されていますが)、貴社のビジネスそして最終的には彼ら自身の生活の保護に積極的に関与する報告者のコミュニティを形成します。
意識向上よりもさらに進んでユーザーに警戒心を持たせるためには、ユーザーがデータ漏洩を招く恐れのあるミスを犯した時にサイバーセキュリティのトレーニングを強化することも必要です。例えば、フィッシングリンクをクリックすることは、甚大な結果を招くおそれのある深刻なミスです。クリック時にユーザーにトレーニングを実施して誤った行動を正し、ベストプラクティスを強化して、習慣的な警戒状態を作りましょう。
