「年に1度、必ずセキュリティ研修を実施する」。こうした取り組みはセキュリティを向上させる上で効果がありそうだが、実はある“欠陥”があると専門家は語る。それは何なのか。
第1回「『情報漏えいを引き起こす内部関係者』の半数以上は“あんな人”」は、セキュリティベンダーProofpointが2022年1月に発表した調査レポート「2022 Ponemon Cost of Insider Threats Global Report」を基に「『内部脅威』によるデータ侵害」の増加を紹介した。
内部脅威によるデータ侵害とは、内部関係者の過失、内部関係者の窃取された認証情報、悪意のある内部関係者に起因するデータ侵害を指す。第2回となる本稿は、こうしたデータ侵害を防ぐために企業が実施する「セキュリティ意識向上研修」の効果が出にくい理由を紹介する。
企業は一般的に、セキュリティ意識向上研修を毎年実施している。こうした研修の本来の目的は、リスクの低減やセキュリティの向上だ。だが企業によっては、以下のような標準や規制に準拠したり、サイバーセキュリティ保険の規定を満たしたりするために実施している。
「年に1回の研修を実施してもリスクは減らせない」と調査会社Gartnerのディレクターアナリスト、ウィリアム・キャンドリック氏は言う。同氏は、こうしたアプローチは従業員の行動を変えるのにほとんど役に立たないと付け加える。
簡単に言えば、従業員はたまにしかない研修で教えられたことを覚え、それを日常業務に適用するのに苦労している。こうした研修は往々にして古くさくて平凡でつまらないプレゼンテーションを含み、従業員の個々の業務に適用できない内容を紹介する。
調査会社Nemertes Researchの最高経営責任者(CEO)兼創設者であるジョナ・ティル・ジョンソン氏も同じ意見だ。こうした取り組みは「練習なしに言語を習得してもらおうとするようなものだ」とジョンソン氏は言う。
これらの見解は、技術者団体USENIXが発表したレポート「An investigation of phishing awareness and education over time: When and how to best remind users」の結果と一致している。このレポートは、USENIXがドイツの行政機関の従業員409人を対象に実施したセキュリティ意識向上研修の効果を検証する調査結果をまとめたものだ。調査方法は以下の通り。
フィッシング詐欺メールを見抜けるかどうかを確認するタイミングは、「セキュリティ意識向上研修の実施前」「実施直後」「4カ月後」「6カ月後」「8カ月後」「12カ月後」だ。調査レポートによると、実施直後と4カ月目は実施前よりも識別率が向上していたが、6カ月目以降には同様の結果は得られなかった。この結果は、セキュリティ意識向上研修を年に2、3回実施するのが効果的であることを示唆している。
第3回は、効果の出にくいセキュリティ意識向上研修を改善する方法を紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...
FacebookやXなど主要SNSで進む「外部リンク制限」の実態 唯一の例外は?
ソーシャルメディアはかつてWebサイトへの重要な流入経路であった。しかし、最近は各プラ...