IBM X-Force® Threat Intelligence Indexレポートの最新の調査結果では、攻撃者の手口の変化が顕著です。従来のハッキング手法を使用するのではなく、犯罪者がエクスプロイトに打ってつけの認証情報を使ってシステムに侵入する攻撃が 71% と大幅に増加しています。情報窃盗者がそれを使用する率は266%も増加しており、これらの認証情報の重要さを浮き彫りにしています。彼らの目的は単純明快です。最も抵抗の少ない入口から侵入し、疑いを持たない従業員を通じて有効な認証情報を奪い取ることです。
多くの組織は、このような脅威に対する防御を強化するために最先端のテクノロジーの開発と実装に何百万ドルも費やしており、多くはすでにセキュリティー意識向上キャンペーンを行っているのに、なぜこれらの攻撃を阻止できないのでしょうか。
今日のほとんどのセキュリティ意識向上プログラムは、データの取り扱い、GDPR ルール、フィッシングなどの一般的な脅威について従業員に必要な情報を提供しています。
ただし、このアプローチには大きな弱点が1つあります。それは、意識向上プログラムが人間の行動を考慮していないということです。多くの組織は通常、画一的なアプローチを採用しており、従業員は洗練されたアニメーションと短いクイズを含む、一般的なコンピュータベースのトレーニングを毎年受講します。
これにより必要な情報は得られますが、トレーニングが付け焼き刃になりがちなことと従業員のセキュリティへの関心の薄さにより、従業員はわずか4～6カ月以内にトレーニング内容を忘れてしまうことがよくあります。これは人間の認知に関するダニエル・カーネマンの理論で説明できます。この理論によれば、すべての個人はシステム 1 と呼ばれる高速で自動的かつ直感的な思考プロセスを持っています。また、人間には、システム 2 と呼ばれる、ゆっくりとした、慎重で分析的な思考プロセスもあります。
従来のセキュリティ意識向上プログラムは、情報を合理的に咀嚼させる必要があるため、主にシステム 2 を対象としています。しかし、十分な動機、繰り返し、個人的な強い関心がなければ、情報は通常、一方の耳から入ってもう一方の耳から出て行ってしまうことになります。
人間の思考と意思決定の約 95% は、私たちの習慣的な思考方法であるシステム 1 によって制御されています。人間は毎日何千ものタスクや刺激に直面しており、その処理の多くは偏見やヒューリスティックを通じて自動的かつ無意識的に行われています。平均的な従業員はいわば「自動操縦」で仕事をしており、サイバーセキュリティーの問題とリスクが彼らの日々の意思決定に深く根ざしていることを知らしめるには、彼らの直感的な仕事のやり方を真に理解するプログラムを設計し、構築する必要があります。
人間の行動を理解し、それを変える方法を理解するには、COM-B行動変容ホイールで表されるいくつかの要素を評価および測定する必要があります。
これら3つの領域を理解して評価すると、従業員の直感的な行動をターゲットにした行動変容と介入計画の領域を特定できます。最終的に、このアプローチは、サイバーセキュリティに対する意識が高い労働力を育成することで、組織が最前線の防御力を強化するのに役立ちます。
従業員の行動上の問題の根本原因が特定されると、自然とセキュリティー文化の構築に注意が向けられます。今日のサイバーセキュリティ文化における一般的な課題は、間違いや失敗を責められることの恐れに基づいています。このような考え方は、サイバーセキュリティに対する否定的な認識を助長することが多く、その結果、トレーニングの修了率が低くなり、従業員は説明責任から逃れようとします。このアプローチには転換が必要ですが、ではどのように実現すればよいでしょうか。
まず第一に、私たちは、意識向上のみに焦点を当てたコンプライアンス主導のモデルから脱却し、取り組みへのアプローチを再考する必要があります。セキュリティ意識向上トレーニングは依然として重要であり、無視されるべきではありませんが、より前向きな文化を育むためには、従業員の教育方法を多様化する必要があります。広範な組織的トレーニングと並行して、IBM X-Forceが促進する魅力的なサイバー・レンジのような、体験学習とゲーミフィケーションを組み込んだ役割別のプログラムを採用する必要があります。さらに、組織全体で、サイバーセキュリティ関係者のネットワークを確立したり、さまざまなイベントを開催する意識向上月間を設けたりするなどのキャンペーンを行うことで、前向きな企業文化の概念を強化することができます。
積極的で強固なサイバーセキュリティ文化を育むためにこれらの取り組みが選択され、実行されたら、上級リーダーから初級レベルの専門家まで、組織のあらゆるレベルからのサポートを受けることが不可欠です。統一された肯定的なメッセージがある場合にのみ、組織内の文化を真に変革することができます。
行動上の課題を特定し、ポジティブな文化を育むことを目的としたプログラムを導入したら、次のステップはメトリクスと成功のパラメーターを確立することです。プログラムの有効性を評価するには、「人為的ミスに起因するサイバーセキュリティーのリスクをどの程度軽減できたか」という根本的な疑問に答えなければなりません。そのためには、リスク低減とプログラム全体の成功を測定できる包括的なメトリクスを確立することが重要です。
従来、多くの組織はフィッシングキャンペーンや習熟度試験などの手法に依存してきましたが、結局は功罪相半ばする結果が大半でした。現代的なアプローチの 1 つは、リスク定量化です。これは、特定のシナリオに関連する人的リスクに金銭的価値を割り当てる方法です。このようなメトリクスをセキュリティ文化プログラムに統合することで、その成功を評価し、継続的に強化することができます。
サイバーセキュリティーを取り巻くランドスケープは変化し続けており、クリティカルな人的要因に対応する包括的なアプローチが必要性を増してきています。組織は、リーダーシップの関与と革新的な取り組みに支えられた積極的なサイバーセキュリティ文化を育む必要があります。そのためには、進捗を測定し価値を示す効果的なメトリクスと組み合わせる必要があります。
IBMは、お客様がセキュリティ文化プログラムを意識向上重視から人間の行動に焦点を当てることに軸足を移すのを支援するために、さまざまなサービスを提供しています。私たちは、組織の介入策を評価し、従業員の動機と習慣に合わせて調整し、サイバーセキュリティーの積極的な保護者となるよう各個人に権限を与えることで、新たな脅威に対するレジリエンスファーストの防御力を構築するお手伝いをします。
