本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/most-orgs-dont-know-if-phishing-consequence-models-are-working」の翻訳です。
「Consequence Model(結果責任モデル)」は、フィッシング攻撃(模擬攻撃であれ実際の攻撃であれ)に「繰り返し騙されるユーザー」に対して罰則を与えるという考え方です。こうしたユーザーについては、私たちもしばらく前から気づいており、ここ数年は情報セキュリティのプロフェッショナルから彼らについての話を聞くことが多くなっていました。組織は、エンドユーザーがサイバーセキュリティ行動にもっと注意するように動機付ける方法をいろいろ検討しており、「飴と鞭(carrot vs. stick)」をどう使い分けるかという議論が行われています。
昨年私たちは、セキュリティ担当者(顧客および非顧客)を対象にConsequence Modelの使用について調査し、今年1月に5回目となるState of the Phishレポートを公開しました。今年は回答者の42%が、模擬フィッシング攻撃を繰り返しクリックしてしまうユーザーに結果責任を負わせると回答していますが、この数値は前年比で7%減少しました。また、そうしたユーザーに罰金を科すと述べた情報セキュリティ専門家の数も減少しました - しかし、最悪の場合解雇もありうるという回答は、わずかながら増加しています。
出典:2019 State of the Phish Report
今年の調査では、懲罰的対応の効果に関連する評価指標についての質問が追加されました。つまり、Consequence Modelを使用している組織が、どこまでその有効性を評価できているかを知りたかったのです。しかし興味深いのは、回答者の半数以上が、Consequence Modelの使用による組織内での影響を評価していないと回答したことです。当社のセキュリティアドバイザーであるAlan Levineは、この結果について次のように述べています。「計測できないということは、何か間違ったことをしているからかも知れません。」
出典:2019 State of the Phish Report
飴と鞭:ユーザーがどう受けとめるかの問題?
元Fortune 500企業のCISOであり、かつてはセキュリティ意識向上トレーニングに懐疑的だったLevineは、ネガティブで強制的なやり方についての懸念を、最近行われたState of the Phish SecureWorldのWeb会議で表明しました。彼は「テストに落ちたからといって、学習の機会を与えられないことは問題です。」と言います。「私たちは誰でも、条件次第でフィッシング詐欺に騙される可能性があるのです。」
Levineはこの問題に情熱を注いでおり、「鞭よりも飴」を優先すべきという彼の主張は、カウンセリングや追加トレーニングのような「より親切で穏やかな」対応にまで及んでいます。(ただし後者については、新しいスキルを得るのが難しいユーザーにとっては「常に有効である」と言っています)。彼は、エンドユーザーがこれらの施策をどう受けとめるかは、組織のポリシーとコミュニケーション、そして組織がユーザーの「失敗」をどのように位置づけるかによって大きな影響を受けるだろうと助言しました。
「悪いニュースは、良いニュースよりもはるかに早く伝わります。悪いニュースはウォータークーラーの傍らで議論されるでしょう。そして、個人にとっての悪いニュースは、組織全体にとって悪いニュースになる可能性があります。」とLevineは警告します。学習過程での間違いによって罰則が与えられることが認知されると、ユーザーは電子メールのやりとりのすべてについて神経質になり、ビジネスに悪影響を及ぼす可能性があります。
Levineによると、情報セキュリティチームは、ユーザーが自分で橋を渡ることを期待するのではなく、ユーザーとの間に「橋を架ける」プログラムを作成することを考えるべきだということです。「私たちは、成功したユーザーには報いるべきであり、そうでないユーザーには成功のためにサポートすべきです。」と彼は言います。「手を差し伸べて対話し、追い詰めるのでは無くサポートし、組織全体を良い方向に向かわせるのです。」
State of the Phishレポートはこちらからダウンロードが可能です。