サイバーセキュリティーでは、テクノロジー、特にサイバー犯罪者がそれを使用して攻撃を実行する方法や、組織がシステムとデータを安全に保つために使用できるツールに焦点が当てられることがよくあります。しかし、これはサイバーセキュリティー・リスクにおける最も重要な要素である人的エラーを見落としています。
Proofpointの2024年のVoice of the CISOレポートによると、最高情報セキュリティー責任者の4人に3人（74%）が人為的ミスを最大のサイバーセキュリティー・リスクと答えています。昨年この見解を示したCISOが60％であり、この数字は著しい増加を示しています。この調査では、CISOと取締役会の間に重大なギャップがあることも判明しました。取締役会はCISOに比べて人的エラーを指摘する可能性が低く（63％）、これはCISOが従業員だけでなくリーダーシップの教育にも重点を置くべきであることを示しています。
調査におけるデータ損失イベントの上位の原因のいくつかは、従業員に直接関連するものでした。最も多かったのは42%で、従業員がデータを不正使用するなどの過失による不注意なインサイダーや従業員でした。その他の理由としては、悪意のあるまたは犯罪的なインサイダー（36％）、従業員の認証情報の盗難（33％）、デバイスの紛失または盗難（28％）などがありました。
IBMの2024年の脅威指標はこの調査結果を裏付けており、攻撃の30％がフィッシングから始まっていることを示しています。ただし、フィッシング攻撃は、量的にも、最初の攻撃ベクトルとしても、2022 年より減少しています。レポートは、フィッシング対策の手法や戦略の継続的な採用と再評価が減少の理由の一つであると指摘しています。
実際に人間が誤って漏洩を引き起こした可能性もありますが、それが必ずしも個人の責任とは限りません。ただし、犯罪者のインサイダーの場合は例外です。組織はサイバーセキュリティーに対して先見的なアプローチを取る必要があります。これには、従業員が安全な慣行を学べるようにトレーニングを提供すると同時に、リスクを軽減するプロセスを設定することも含まれます。
人的なサイバーセキュリティー・リスクを軽減するのは簡単ではありません。問題を解決する単一のプログラムやトレーニングを立ち上げることはできません。代わりに、組織はサイバーセキュリティーの文化を創り出し、すべての従業員がサイバーセキュリティーを仕事と考えられるようにする総合的なアプローチを取る必要があります。
AIツールは人間が何をする可能性が高いかを予測できるため、サイバーセキュリティーにおける人的リスクからの保護に特に効果的です。Proofpointのレポートによると、世界のCISOの87％が、人的エラーや人的要因に起因する高度なサイバー脅威からの保護に役立つAI搭載機能の導入を検討しています。
多くの企業がトレーニングを提供していますが、多くの場合、行動を変えたり、サイバーセキュリティーを念頭に置いたりすることのない、チェックボックス型のトレーニングです。トレーニング・プログラムを設計するときは、総合的なアプローチをとり、どの従業員がどのような種類のトレーニングを必要としているかを検討します。
まず、過去のインシデントを振り返り、従業員が最近のフィッシング攻撃を繰り返しクリックするなど、どのトピックが最も重要かを判断します。企業は、トピックを常に意識できるように、年次研修の代わりに毎月のミニ・モジュールを定期的に実施することを検討する必要があります。さらに、新入社員のオンボーディングにサイバーセキュリティー研修を含め、すべての社員が同じ情報を持ってキャリアをスタートできるようにします。
従業員はサイバーセキュリティーが他人の仕事だと感じがちです。しかし、人的リスクを軽減することは、まずその印象を変え、従業員一人ひとりにサイバーセキュリティーに対する責任を感じてもらうことから始まります。トレーニングはこの変化の重要な要素ですが、会社全体でサイバーセキュリティーを常に念頭に置くことも必要です。サイバーセキュリティー文化は上層部から始まり、各リーダーはサイバーセキュリティーについて話し、その重要性を強調します。
サイバーセキュリティーは人間で始まり、人間で終わります。攻撃者は人間であり、攻撃を阻止する能力を持つ人間なのです。サイバーセキュリティーにおける人的要素に焦点を当てることで、組織はリスクを大幅に軽減できます。しかし、1回のトレーニング・セッションや数か月のトレーニング・セッションでは、変化は起きません。組織は、このストラテジーを長期的なアプローチとして捉え、従業員一人ひとりが組織のサイバーセキュリティーに変化をもたらす力を秘めていることを認識させることを目標とする必要があります。
