米国のサイバーセキュリティ啓発月間からの学びとは？

サイバーセキュリティ啓発月間は実際に役立っているのでしょうか？

米国でサイバーセキュリティ啓発月間が始まって 20 年目を迎えた今、これは検討する価値のある質問です。サイバー犯罪者が攻撃を続ける時代においても、セキュリティ教育を受けたテクノロジーユーザーが最良の防衛線であることに変わりはありません。

しかし、知っているのと実行するのとは違います。ユーザーがセキュリティのベストプラクティスについての認識を深めていることを示す統計もありますが、驚くことにグループの一部ユーザーが、それらのベストプラクティスに従うことにあまり関心を持っていないことを示すデータもあります。

サイバーセキュリティ啓発月間のメッセージは「クリックする場所に注意」だけではなく、進化してゆくのでしょうか？従業員のサイバーセキュリティにおける行動を改善するために、企業には何ができるのでしょうか。これらの答えは、単に「知識を持っている」だけではありません。

Cybersecurity Tribe は、2023 年 10 月に匿名の CISO の発言を特集し、サイバーセキュリティ啓発月間の価値に関する疑念を要約しました。「私たちは 20 年前と同じ愚かな間違いを今でも繰り返している。」

しかし、この評価は本当に正しいのでしょうか。少なくとも、アメリカ人は知識の面で進歩を遂げています。Pew Research によると、2023 年には、アメリカ人の 87 %が、4 つのパスワードの中から最もセキュアなパスワードを特定できるようになっていました。 3 分の 2 の人がクッキーの存在理由を知っていました。さらに、ほぼ半数が、一連の画像から二要素認証の例を発見できました。

前回2019 年に Pew が実施した調査によると、2 要素認証を特定できたのは回答者の 28% にすぎませんでした。一方で、クッキーの目的を把握していた人は、今回 の調査とほぼ同数の 63% でした。2020 年代初頭のサイバーセキュリティ啓発月間は、少しは効果があったようです。

しかし、おそらくもっと重要なのは、世界的に重要とされる指標において進歩がみられたということです。それは、「人的要素」が関与したデータ侵害の割合です。 一般的には、ユーザーが悪意のあるリンクをクリックするといった類いのものです。2022 年の Verizon Data Breach Investigations Report によると、人的要素が世界中の侵害の 82% に関与していることが判明しました。2023 年には、この数字は、74% で、2024 年のレポートでは、68% に低下しています。

以上に述べたことは全て、明るいニュースですよね？匿名の CISO が示唆しているように、サイバーセキュリティの啓発（あるいは、より適切な表現をすると、ふるまい）には、まだ長い道のりがあります。

たとえば、多要素認証（MFA）は、比較的シンプルな機能ですが、一般的にサイバー攻撃を防ぐのに有効です。2022 年に Cyber Readiness Institute が実施した調査によると、MSP の 54% が MFA を実装していないという結果が出ていました。数年経過した現在では、その数は減少しているかもしれません。

次に、パスワードの問題です。これは、多くのユーザーが扱いたくない、または扱えないサイバーセキュリティの分野となり続けています。Google の避けるべきサイバーセキュリティの 6 つの失敗リストの最初には、「どこにでも同じパスワードを使用する」があります。

では、多くのユーザーはどうしているのでしょう？Security.org によると、約 5 人に 1 人が、すべてのアカウントで同じパスワードを使用しており、約 30% が、パスワードマネージャのマスターパスワードを他のアカウントでも使用しています（悪い実例です）。2023 年のこの 30% という数字は、2021 年の 19% から割合が上昇しています。さらに、ユーザーの 4 分の 1 は、コンピューターやモバイルデバイス上の（セキュリティで保護されていない）メモにパスワードを保存しています。その割合は 2022 年から 2023 年にかけて変わっていませんでした。

セキュリティ意識向上トレーニングの目的には、上記の悪い習慣をなくすということが含まれています。これは確かに役立ちます。もっとも、トレーニングそのものが問題ではありません。それを実行に移すかどうかはユーザー次第です。

たとえば、National Cybersecurity Alliance は、セキュリティトレーニングをもっとも多く受けているユーザーが、最悪のオンライン行動を示すことが多くあり、サイバー攻撃を受けている割合がもっとも多いことを発見しています。アメリカ、イギリス、カナダ、ドイツ、フランス、ニュージーランドを対象とした、Alliance の調査結果に、以下のような厳しい記述があります。

「驚くべきことに、Z 世代の 43%、ミレニアル世代の 36% がサイバー犯罪の被害者になったと報告しており、正式なサイバーセキュリティトレーニングを受けていないサイレント世代（20%）やベビーブーマー世代（15%）よりも割合が多くなっています。同時にデジタルネイティブでは、セキュリティには取り組む価値があるとは考えていない人の割合が、2 倍ほどになっています。このことは、彼らのサイバー習慣にも反映されており、Z 世代の半数、ミレニアル世代の 41% が、パスワードを作成する際に家族の名前やペットの名前、日付や場所などの個人情報を使用していると認めています」

優れた方法を知っているはずの若いユーザーの多くも、サイバーセキュリティでのよい慣習を守ろうとしません。興味深いことに、Alliance の調査に回答した 39% の人が、オンラインでのセキュリティ維持のためのプロセスにはイライラしていると回答し、37% の人が強圧的だと感じていると回答しました。

サイバーセキュリティでのよい慣習を実践しようとすれば、多くのユーザーに痛みが伴います。MFA は、ユーザーが重要な情報にアクセスする際に必要なステップを追加しています。しかし、どの Eメールも電子的な地雷となる可能性があるため、それ相応の対応が必要になります。電話やビデオ通話など、以前は信頼できたコミュニケーション手段も、ディープフェイクの潜在的なベクトルとなり得ます。そういう状況ですから、多くのユーザーが諦めてしまい、何が起こってもかまわないという状態になりかねません。

もちろん、それはユーザーにとっても、ビジネスにとっても、あってはいけないことです。優れたサイバーハイジーンの実践は重要であり、従業員はその重要性を理解している必要があります。研修は有用であり、必要不可欠ですが、それだけでは不十分です。結局のところ、トピックが何であれ、多くの従業員は研修はできるだけ早く終えたいと思うでしょう。

雇用主は、セキュリティ啓発トレーニングを行うだけでなくサイバーセキュリティの文化を構築する必要があります。以下の基本的な手順を実行することで、リスクを軽減できます。

恐怖をあおるような数字や遠い海の向こうのサイバー攻撃の話では、ユーザーは興味を失ってしまうでしょう。ビジネスオーナーや IT 管理者は、サイバーセキュリティは全員の責任であり、サイバー攻撃によって業務の縮小や従業員の解雇に至る可能性があることを従業員に伝える必要があります。

これは攻撃の被害を受けた従業員を解雇すると脅すという意味ではありません。従業員全員に、サイバー攻撃が事業を完全に停止してしまうことがあると知ってもらうことが重要です。従業員の仕事は毎日危機にさらされています。そう考えるとMFA を使用すること、あるいは一意のパスワードを考えることは、それほど面倒なことではないかもしれません。

ノートパソコンを閉じてロックせずに席を離れる従業員を報告する秘密警察になりたいとは、誰も思わないでしょう。それは、この文章の目的とは異なります。チームミーティング、マネージャーとの個別ミーティング、さらには社内全体のミーティングといった、日常的な会話のなかにサイバーセキュリティの話を組み込むということです。

従業員に対して、サイバーセキュリティのハイジーンを守るよう説教したり、非難したりする必要はありません。サイバーセキュリティの重要さと、オンラインで安全に活動するために 1 人ひとりが一体となって取り組んでいるということを知らせましょう。これは他の多くの職場でも行われている演習であり、グループでの成功を導くためには、全員が参加する必要があります。オンラインにアクセスするための障害としてではなく、ポジティブな実践としてサイバーセキュリティを位置づけましょう。質疑応答を行い、興味を喚起し、フィードバックを奨励しましょう。

言うまでもなく、パスワードを他人に知らせる必要はありません。しかし、組織の経営者や IT 管理者は、堂々とサイバーセキュリティのベストプラクティスを実践できます。可能な場合には、ミーティングの設定でも MFA を使用してください。受信した疑わしい Eメールについて警告を送信します（もちろん、そんなメールを転送してはなりません）。ユーザーにパスワードウォレットを提供し、その使用方法についてのトレーニングを行いましょう。

サイバーセキュリティは IT 部門のみの責任ではなく、CEO からインターンに至る、全員の責任であることを示すことが重要です。サイバーセキュリティへの取り組みを公に示し、それについて議論することで、皆さんが同様の取り組みを行うように推奨してください。ここでも、警察国家を樹立するのではなく、目的意識とチームワークを育むことが目的となります。

個人も従業員も最善の努力をしても、リスクがなくなるわけではありません。サイバー攻撃者は AI を駆使して、技術を洗練させており、頻度や攻撃数を増やしています。

サイバーセキュリティ意識向上トレーニングを受講しましょう。孤立無援でサイバーセキュリティの文化を維持するための万能の策ありませんが、サイバーディフェンスを強化したいすべての組織にとって、テクノロジは完全に必要な要素です。これを適切に活用すれば、サイバーセキュリティの文化を構築するための堅固な基盤となります。

セキュリティ意識向上トレーニングを実施するのは難しくありません。実際、ソフトウェアを使用してトレーニングを自動化し、スケジュールを設定することができます。サイバーハイジーンの重要性を、従業員につねに意識させるためにも使用できます。重要なのは、トレーニングを広範なセキュリティ文化の中核的要素として考えることです。

最悪の事態が発生した場合にデータを保護し、バックアップするサイバーセキュリティテクノロジは、欠かすことができません。Acronis Cyber Protect Cloud および Acronis Cyber Protect により、MSP とその顧客、およびビジネスを完全に保護することができます。

目に見える結果を生み出すという点では、サイバーセキュリティ啓発月間は現在も進行中の作業と言えます。しかし、ビジネスにとって重要なのはグローバルなトレンドではなく、従業員がオンラインでどのように行動するかです。従業員を正しい方向に導くためにできることはたくさんあります。