セキュリティトレーニングの視点からの
サイバーセキュリティ実態調査

2023年03月22日公開

セキュリティトレーニングの視点からのサイバーセキュリティ実態調査

日本企業を標的とするサイバー攻撃が増加しているのは皆さん認識していると思われます。 多くの方はセキュリティ教育を座学で受けていると思いますが、実習形式の演習(トレーニング)で受けたことはありますでしょうか。
今回のニュースレターでは、KnowBe4社提供の「セキュリティトレーニングの視点からのサイバーセキュリティ実施調査」を基に現在の日本のセキュリティ意識について解説します。

サイバーセキュリティトレーニングの受講状況と受講者の評価

最初に、日本でのサイバーセキュリティ教育がどれだけ普及しているか見てみましょう。サイバーセキュリティ教育を受講したことがない人は半数以上の51%となっており、他国と大きな乖離が発生しています。サイバーセキュリティ演習を受けている人は対面での集合トレーニングを受けている人が他国と比べて多い割合でした。
このことから日本ではサイバーセキュリティトレーニングを受講している割合が少ないものの、グループ形式の集合トレーニングが多いことがわかります。
筆者もセキュリティトレーニング教育を受けたことありますが、座学(e-ラーニング等)と演習を比較すると、演習の方がセキュリティ意識が身に着いたと実感しました。
実際に手を動かし、仲間と相談/協力しながら課題(インシデント)解決をしていくことにより、自身の考え方や手順が適切なのか、他人の意見を聞くことによる新しい発見がありました。 最近ではサイバーセキュリティ演習を提供している企業や組織があり、難易度も初級編などあるので一度調べてみるといいかもしれません。

フィッシングへの対応・報告とフィッシングを見抜く自信

次にフィッシングメールに関する調査結果です。
フィッシングメールについては57%(5人に3人)の人は疑わしいメールには関与しないと回答していますが、18%(5人に1人)の人しかセキュリティ担当チームに報告していない結果であり、他国と比べて低い割合でした。
また、疑わしいメールに対して、「見分けることができない」「自信がない」という回答が85%前後あり、他国と比べて非常に多い結果でした。

筆者は過去に弊社サービス「標的型攻撃メール演習(なりすましメール演習)」を担当していた時期がありました。
疑わしいメールを被験者に送信し、疑わしいメールに対し適切な対応(添付ファイルを開かない、URLをクリックしない)ができるか実習機会を提供しました。
最近では疑わしいメールを適切に対応すること以外に、「社内ルール(セキュリティガイドライン等)に沿って社内通報窓口に通報しているか」を演習を通じて確認する企業が多くなってきました。こちらは弊社サービスで対応できないので企業の担当部署で集計していただいています。
当時の結果は把握していませんが、本調査結果から推測するとガイドラインに沿って所定のチームに報告出来ている被験者は多くはないと思います。

ITチームの支援について

続いて、ITチームの支援について調査結果です。
調査結果では「支援を依頼するITチームがない」が37%と他国と比べ高くなっています。またIT意思決定者の5人に2人(40%)は「2023年度のサイバーセキュリティ対策への投資/支出を計画している」と回答しているが、こちらも他国と比べ低いです。
これは主にIT人材の不足によるものと推測します。特に中小企業では人手不足によりIT担当者を配置できる余裕がなく、その結果、支援を依頼するITチームがいないと考えています。また、投資支出計画も他国と比べて低いため、セキュリティ強化をしようにも出来ない状態であると筆者は推測します。

まとめ

まとめとなりますが、本調査結果からわかることは、日本はセキュリティに関する投資や教育が他国と比較し少ないとわかりました。
また、セキュリティに関する投資計画を実施している企業や団体も他国と比べ少なく、教育に力が入れられていないことが見受けられます。
最近はEmotetの活動が再開したこともあり、メールに添付されたファイルや記載されたURLに一掃の注意を払わないといけません。
そんな疑いのあるメールを人間が見極める力をつけるための製品/サービスがありますのでご紹介します。

【製品URL】
・ディアイティ KnowBe4ページ
https://www.dit.co.jp/products/knowbe4/

サイバーセキュリティの人的防御対策をいかに展開してくべきか

KnowBe4が提案するサイバーセキュリティの人的防御対策

    本誌でKnowBe4 Japan社はサイバーセキュリティの人的防御対策(ヒューマンファイアーウォール)の根幹を下記のように説明しています。

    ・サイバーセキュリティトレーニングは「1回セットしたら終わり」ではない。
    ・セキュリティ意識向上トレーニングが「人」を狙う進化し続けるセキュリティ攻撃に対して断続的に対応することが求められる。
    ・定期的に注意喚起しなければ、実現した行動の変化も元の状態に戻る。行動変化を常態化して行動変異につなげる必要がある。

    KnowBe4社はこの調査結果を解析して、セキュリティ意識向上トレーニングプログラムにいかに取り組み、サイバーセキュリティの人的防御対策をいかに展開していくべきかを提案するためのものです。
    この調査結果と自社の状況と対比して、まずは自社の現状を把握していだだき、サイバーセキュリティの人的防御対策をいかに展開していくべきかをご検討いただけますと幸いです。

    本実態調査レポートはKnowBe4社に提供いただきました。
    本実態調査レポートをご希望の方はKnowB4 Japan合同会社までお問い合わせください。
    【参考】
    ・KnowBe4 がセキュリティトレーニングの視点からのサイバーセキュリティ実態調査を日本で実施
    https://www.knowbe4.jp/press/cybersecurity-survey-japan-from-security-training-perspectives

セキュリティ事故対応依頼!
お問い合わせ先はこちら

03-5634-7655

電話受付時間/平日9:00~18:00

ディアイティ フォレンジックサービス