日本語版2023年度版業界別フィッシングベンチマーキング調査レポートを公開
サイバー攻撃の人的防御対策への注力は高まってきているが、まだ十分ではない
セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4は、日本企業および団体向けに、 日本語版2023年度版業界別フィッシングベンチマーキング調査レポートをリリースした。
KnowBe4では、社員ひとり1人がどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するために、6万社を超える企業や団体が利用するセキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームでPPP (Phishing Prone™ Percentage:フィッシング詐偽ヒット率) を測定し、データとして集計している。本レポートはPPPを業界別のベンチマーキングとして統計分析したもの。
KnowBe4は、19の異なる業種における3,210万回以上の模擬フィッシング訓練/フィッシング攻撃テストの結果を集計し、35,681の組織における1,250万人以上のユーザーのデータセットを分析している。KnowBe4では、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標「PPP(Phishing Prone™ Percentage:フィッシング詐偽ヒット率)」を集計している。これによって、どれくらいの従業員が誤って摸擬フィッシングメールのリンクをクリックした、または感染した添付ファイルを開いたかを可視化している。
ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、驚くべき改善が見られた。90日間のKnowBe4のトレーニングとフィッシング演習の結果、全世界の平均PPPスコアは、33.2%から18.5%へと大きく減少している。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5.4%までに減少している。これは、KnowBe4のトレーニングとフィッシング演習が新しい行動習慣を常態化し、より強固なセキュリティカルチャーを醸成していることを示す驚くべき成果である。
また、本レポートでは、どの業界がサイバー脅威に対して最も脆弱で、PPPが最も高い業種かを集計分析することで、セキュリティ意識向上トレーニングの必要性が高い業界を解明している。小規模組織(1-249名)と中規模組織(250-999名)では、医療・介護および製薬業界が、それぞれ32.3%と35.8%と最も高いPPPとなっている。大規模組織(1000名以上)では、保険業界が2年連続で最もリスクが高く、PPPは53.2%で、2022年から変化していない。
総論として、「サイバー攻撃の人的防御対策への注力は高まってきているが、まだ十分ではないという」所見を提示している。 米Verizon社の2023年度版Verizonデータ侵害調査報告(Verizon 2022 Data Breach Investigations Report) は、今年のデータ侵害の74%は人的要素が関与していると報じている。これは昨年の82%から改善されたものの、昨年引き続き、従業員に的確なセキュリティ意識向上トレーニングを実施することで、サイバー攻撃の人的要素に焦点を当てた取り組みを継続することは不可欠であることを示す。
さらに、本レポートでは、北米、英国、アイルランド、ヨーロッパ、アフリカ、南米、アジア(日本を含む)、オセアニア(オーストラリア/ニュージーランド)のフィッシングベンチマーク結果を地域別に集計分析を行っている。
日本を含むアジア地域の考察を見ると、2023年 IBM脅威インテリジェンス・インデックスよるとアジア太平洋地域が2022年中に最も多くのサイバー攻撃に遭遇し、2022年に監視された全インシデントの31%をアジア太平洋地域が占めたことが報告されている。
中でもトップである日本は、2022年にEmotet(エモテット)というマルウェアの攻撃を受け、大きな打撃を被った。警察庁の発表によると、2022年のサイバー犯罪件数は12,369件 (2021年の160件から増加) と過去最高を記録。また、ビジネスメール詐欺 (BEC) や分散型サービス妨害攻撃 (DDOS) を介した恐喝などが、日本全体で多く報告されている。さらに、The State of Financial Crime 2022では、Key Takeaways for Asia Pacific Firms (金融犯罪の現状2022:アジア太平洋地域の企業に関するまとめ)の中で、国連薬物犯罪事務所 (UNODC) は、日本のサイバー犯罪が600%増加したと報告している。
KnowBe4 Japanの営業組織を率いる営業統括本部長ガブリエル・タンは、日本語版2023年度版業界別フィッシングベンチマーキング調査レポートのリリースについて次のようにコメントしている。
「サイバーセキュリティの現状を直視していただきたい。ITセキュリティ製品への支出は増加し続けていますが、データ侵害の報告件数は、一向に減少しません。ここには、本レポートの冒頭でも指摘していますが、サイバー攻撃者は「人」が最も脆弱なリンクであり、「人」を攻撃することが最も容易かつ安価な攻撃であることと考えていることです。ほとんどのサイバー攻撃被害は、従業員の不注意な行動から始まっています。日本においては、人的防御の重要性を大企業は理解し始め、多くの大手企業がセキュリティ意識向上トレーニングを採用してきていますが、まだ中堅・中小企業における人的防御の重要性の認識は低いと言わざるを得ません。最近の多くのインシデントは、大手企業の傘下にある組織や現地法人などのITセキュリティが手薄なところから始まっています。KnowBe4の業界別フィッシングベンチマークレポートの調査結果は、新しいスタイルのセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)と模擬フィッシング攻撃演習のシミュレーションの有効性を実証するものです。教育を受けた従業員は、強力なヒューマンファイアウォールを形成し、安全なサイバー習慣を実践し、強固なセキュリティを構築する鍵となります。是非、日本語版2023年度版業界別フィッシングベンチマーキング調査レポートを一読して、人的防御対策を見直していただきたい」。
