【セキュリティ】企業へのサイバー攻撃の裏に潜む、従業員の理解不足の実態

ニュース

サイバー攻撃の脅威から企業を守ろうとするビジネスリーダーたちの心配は尽きない。2022年7月下旬に発表された調査結果によると、従業員の実に3人に1人は、情報セキュリティがなぜ重要なのかを理解していない。また、企業をサイバー攻撃から守る役割を、彼ら自身が担っていることも理解していない。

同調査は、クラウドベースのメールセキュリティ・プラットフォームであるテシアン(Tessian)が実施したものだ。

From Forbes

テシアンで信頼およびコンプライアンス担当責任者を務めるキム・バートン(Kim Burton)は、以下のように述べる。「憂慮すべき結果だ。多くの人々が、同僚や企業を守るために自身が担っている役割をはっきりと理解しておらず、自分自身がビジネスを守る戦力であることや、情報セキュリティが通常業務の一環であることを実感していないことが明らかになった」

「今回の結果はまた、セキュリティ責任者と従業員のあいだにある、セキュリティ認識の断絶を浮き彫りにした」と、同氏はEメールで見解を述べ、こう続けた。

「調査に回答したITおよびセキュリティ責任者のほぼ全員(99%)が、強固なセキュリティ態勢の維持のためには、確固としたセキュリティ認識が重要であると答えた。一方、責任者たちは、自社のセキュリティ態勢を平均で10点中8点と評価しているにもかかわらず、過去12カ月以内にセキュリティ・インシデントを経験していた企業は、4社のうち3社に上った」

「従業員たちがセキュリティの重要性を理解していないのなら、過半数の企業がセキュリティ・インシデントを経験している状況もうなずける」と、バートンは言う。

ウーバーへのサイバー攻撃が再びニュースに

2016年10月に起こったウーバーへのサイバー攻撃が、2022年7月に再び注目を集めた。ウーバー側が、2016年に大規模なサイバー攻撃が発生したときに、事実の隠蔽を試みたことを認めたためだ。

改めて脚光を浴びた、5700万人の顧客とドライバーの個人情報が漏洩したこの事件は、サイバー攻撃に対する備えが、企業にとっていかに重要であるかを物語っている。

ビジネスリーダーへのアドバイス

テシアンのプレスリリースで、バートンは、「組織を構成する誰もが、自身の業務と、同僚や自社のセキュリティとの関係を理解している必要がある」と述べている。

「企業のセキュリティ上のニーズに対して従業員が積極性に取り組むようにするためには、個人の業務に直結した、実践的な教育訓練が必要だ。セキュリティチームは、共感とケアの社内カルチャーをつくりだす責任がある。セキュリティに関する取り組みを、通常のワークフローに容易に組み込めるようなツールや手続きをつくり、社員教育を強化すべきだ」

「セキュリティに関する取り組みは、生産性向上に不可欠な要素だとみなすべきだ。従業員がセキュリティチームを信頼し、(セキュリティチームが)ビジネスにとっての最善策を念頭に置いていることを認識すれば、両者を結びつける真のパートナーシップが生まれる。セキュリティを重視する社内カルチャーが強固になるはずだ」と、バートンは結論づけた。

内に潜む脅威

今回の調査結果は、増加するサイバー攻撃の脅威とその源泉について、(すでに嫌というほど聞かされているかもしれないが)改めてビジネスリーダーに警鐘を鳴らすものだ。

ID管理を提供する日立IDシステムズが2022年1月におこなった調査では、回答したITおよびセキュリティ関連企業の幹部および従業員のうち、実に65%が、サイバー攻撃への加担を勧誘された経験があると答えた。この割合は、2021年11月に行われた同様の調査から17%増加している。

・自身または自社の従業員が、50万ドル未満相当の現金またはビットコインの報酬を提示されたと答えたのは、回答者の57%にのぼった。ランサムウェア攻撃の主体は、おもにEメールを通じて、幹部や従業員に接触した(59%)。

・「ランサムウェア攻撃の幇助」に勧誘された65%の回答者のうち、49%はランサムウェア攻撃の被害に遭った。

・回答者の過半数(55%)は、ランサムウェア攻撃に対する自社の備えは十分、または高度だと考えていた。しかし、過半数(51%)の企業の対策は、境界型セキュリティ(社内ネットワークとインターネットの境界において講じられるセキュリティ対策)を主体とするか、あるいは、境界型セキュリティに完全に依存するものだった。

PAGE TOP