セキュリティ意識向上ソリューションの優れている点は、実際にヒューマンエラーに起因するリスクが確実に減少することです。「人」を直接狙う攻撃が以前よりさらに増加している現在、セキュリティ意識向上トレーニングによるリスクの低減は組織にとってより重要な課題となっています。World Economic Forumのデータでもさらなる意識向上の必要性を示しています。このデータによると、サイバーセキュリティ問題の95%はヒューマンエラーが原因で発生しています。
現在、ほとんどの組織がセキュリティ意識向上トレーニングの重要性を認識し、トレーニングを実施しています。実施されているトレーニングは、組織全員を対象としたものとは限りませんが、それでもトレーニングを実施していること自体は良い傾向といえるでしょう。プルーフポイントの「2022 State of the Phish」(フィッシング攻撃の現状)レポートによると、調査対象となった組織の99%で何らかのセキュリティ意識向上プログラムが実施されています。
もちろん懸念事項もあります。セキュリティ意識向上プログラムで期待したような成果を上げていない組織もあることです。その理由は、成果をあげていない組織の多くは、トレーニングの完了率でセキュリティ意識向上プログラムの成否を判断していることにあります。しかし、業界のアナリストは、トレーニングの完了率ではなく、現実のセキュリティ効果に結び付く実際の行動指標に基づいて評価するよう、セキュリティ担当者に提唱しています。
機能するソリューション
プルーフポイントは最近、セキュリティ意識向上トレーニング部門で2022 CISO Choice Awardを受賞しました。これはどのような意味があるのでしょうか。この受賞は、Proofpoint SAT (Security Awareness Training)ソリューションが業界をリードする存在であるだけでなく、利用者のデータからもセキュリティの効果が実証されたことを意味します。
プルーフポイントを利用している組織では、わずか6か月の間に、ユーザーがクリックする不正リンクの数が40%減少しています。この数字を裏付ける調査結果を紹介しましょう。
調査の詳細
プルーフポイントでは、2020年から2021年の12か月にわたり、約500の組織の400万人のユーザーを対象に調査を実施しました。この調査には世界中の組織が参加し、その業種は官民合わせて35の業種にわたります。
多くの組織は、攻撃シミュレーションでのクリック率でセキュリティ意識向上トレーニング プログラムの効果を判断しようとします。しかし、今回の調査でプルーフポイントは実際の脅威に対するクリック率を測定しました。攻撃シミュレーションでは、フィッシングテンプレートの難易度など、様々な理由でバイアスがかかる可能性があるためです。
また、今回は、セキュリティ意識向上トレーニングが実際の行動にどのような効果があるのかも検証しました。ユーザーが、習得した知識や技術を最も重要な防御ポイント(つまりメールボックス)で発揮し、不正なリンクのクリック回数を減らしているかどうか調査しました。
この調査では、まずProofpoint SAT (Security Awareness Training)ソリューションを購入して実施する前に、ユーザーの実際のクリック率をProofpoint Targeted Attack Protectionソリューションで測定しました。
その後、トレーニングを開始して3か月と6か月の時点で同じクリック率を測定しました。その結果、Proofpoint SATソリューションを導入した組織での不正リンクのクリック数は、3か月後に平均で31%、6か月後には40%減少しました。
長期的に効果を継続させるためのセキュリティ意識向上プログラム
セキュリティ意識向上プログラムの効果を評価し、それを経営陣に伝えることは簡単ではありません。効果を長期的に持続させるためにセキュリティ意識向上プログラムの効果を測定する方法については、プルーフポイントのeBook「長期的に効果を継続させるためのセキュリティ意識向上プログラム評価CISO:CISO および IT リーダー向けガイド」をダウンロードしてご覧ください。
