認証情報悪用攻撃71%増、IBMがセキュリティ対策の再考を促す

Last Updated on 2024-04-16 07:43 by 荒木 啓介

IBM X-Force® Threat Intelligence Indexレポートの最新の調査結果によると、攻撃者の戦術に変化が見られます。従来のハッキング手法を使用する代わりに、犯罪者が有効な認証情報を悪用してシステムに侵入する攻撃が71%増加しています。情報窃盗ツールの利用は驚異的な266%増加し、これらの認証情報を取得する上での役割を強調しています。組織は防御を強化するために最先端技術の開発と実装に数百万ドルを費やしており、多くがセキュリティ意識向上キャンペーンを既に実施していますが、これらの攻撃を阻止できていない理由は何でしょうか。

従来のセキュリティ意識向上プログラムの課題は、人間の行動を考慮していないことにあります。これらのプログラムは一律のアプローチを採用しており、従業員は年に一度、一般的なコンピュータベースのトレーニングを受け、短いクイズを解きます。これにより必要な情報は提供されますが、トレーニングの急ぎ足と個人的な関連性の欠如が原因で、従業員は情報を4〜6ヶ月以内に忘れてしまうことが多いです。これは、ダニエル・カーネマンの人間の認知に関する理論によって説明されます。この理論によると、個々人は速く、自動的で直感的な思考プロセス（システム1）と、遅く、慎重で分析的な思考プロセス（システム2）を持っています。従来のセキュリティ意識向上プログラムは主にシステム2を対象としていますが、十分な動機付け、繰り返し、個人的な意義がなければ、情報は入ってきてもすぐに忘れられてしまいます。

従業員の行動を理解することが重要です。人間の思考と意思決定の約95%はシステム1によって制御されており、これは私たちの習慣的な思考方法です。従業員は毎日数千のタスクと刺激に直面しており、多くの処理はバイアスやヒューリスティックを通じて自動的かつ無意識的に行われます。平均的な従業員はオートパイロットで作業を行っており、サイバーセキュリティの問題とリスクが日常の意思決定に組み込まれるようにするためには、彼らの直感的な働き方を真に理解するプログラムを設計し構築する必要があります。人間の行動とそれを変える方法を理解するためには、COM-B行動変容ホイールに支えられたいくつかの要因を評価し測定する必要があります。まず、従業員の能力、つまり安全なオンライン慣行に従事するための知識とスキルを知る必要があります。次に、トレーニングプログラム、ポリシー、手順などのリソースの利用可能性を含む、学習のための十分な機会があるかどうかを特定する必要があります。最後に、そして最も重要なこととして、従業員の動機付けのレベル、つまり安全な行動を優先し採用するための意欲とドライブを理解する必要があります。これらの3つの領域を理解し評価することで、行動変容のための領域を特定し、従業員の直感的な行動を対象とした介入を設計することができます。最終的に、このアプローチは組織がよりサイバー意識の高い労働力を通じて第一線の防御を育成するのに役立ちます。

ポジティブなサイバーセキュリティ文化を育成する必要があります。行動上の問題の根本原因が特定されると、自然とセキュリティ文化の構築に注目が移ります。今日のサイバーセキュリティ文化の主な課題は、エラーや不正行為への恐怖に基づいていることです。この考え方はしばしばサイバーセキュリティに対する否定的な認識を育て、トレーニングの完了率が低く、責任感が最小限になる結果を招きます。このアプローチには変化が必要ですが、どのように達成するのでしょうか。まず第一に、私たちはイニシアティブへのアプローチを再考し、純粋に意識向上に焦点を当てたコンプライアンス主導のモデルから離れる必要があります。セキュリティ意識トレーニングは依然として重要であり、見過ごすべきではありませんが、よりポジティブな文化を育成するために教育方法を多様化する必要があります。組織全体のトレーニングと並行して、体験学習やゲーミフィケーションを取り入れた役割固有のプログラムを採用するべきです。さらに、サイバーセキュリティのチャンピオンネットワークの設立や多様なイベントを含む意識向上月間の開催など、組織全体のキャンペーンがポジティブな文化の概念を強化することができます。これらのイニシアティブが選択され実施されると、ポジティブで強固なサイバーセキュリティ文化を育成するために、組織のすべてのレベル、上級リーダーシップから入門レベルの専門家までのサポートが不可欠です。統一された肯定的なメッセージがある場合にのみ、組織内の文化を真に変革することができます。

人間のリスク削減を測定しなければ、何が効果的かわかりません。行動上の課題を特定し、ポジティブな文化を育成するためのプログラムを実施した後、次のステップは成功のための指標とパラメータを確立することです。プログラムの有効性を評価するためには、人為的エラーに起因するサイバーセキュリティインシデントのリスクをどの程度軽減したかという基本的な質問に対処する必要があります。リスク削減と全体的なプログラムの成功を測定するための包括的な指標セットを確立することが重要です。従来、組織はフィッシングキャンペーンや習熟度テストなどの方法に依存してきましたが、結果はまちまちでした。一つの現代的なアプローチはリスク定量化であり、これは特定のシナリオに関連する人間のリスクに金銭的価値を割り当てる方法です。このような指標をセキュリティ文化プログラムに統合することで、その成功を評価し、時間の経過とともに継続的に向上させることができます。

【ニュース解説】

サイバーセキュリティの分野において、攻撃者の戦術が変化していることがIBM X-Force® Threat Intelligence Indexレポートの最新の調査結果から明らかになりました。攻撃者は従来のハッキング手法から転換し、有効な認証情報を悪用することでシステムに侵入する手口が71%も増加しています。情報窃盗ツールの使用も266%という驚異的な増加率を示しており、これらのツールが認証情報を取得する上で重要な役割を果たしていることが強調されています。

組織はセキュリティ対策として最先端技術に多額の投資を行い、セキュリティ意識向上キャンペーンを実施していますが、それでもなお攻撃を防げていないのはなぜでしょうか。その理由の一つとして、従来のセキュリティ意識向上プログラムが人間の行動を考慮していない点が挙げられます。これらのプログラムは一律のアプローチを取り、従業員は年に一度、基本的なコンピュータベースのトレーニングを受けるだけです。この方法では、情報が個人にとっての意味を持たず、短期間で忘れ去られてしまう傾向があります。

人間の思考と意思決定の大部分は、習慣的な思考プロセスであるシステム1によって制御されています。従業員は日々の業務をオートパイロットでこなしており、サイバーセキュリティのリスクを日常の意思決定に組み込むためには、彼らの直感的な働き方を理解し、それに基づいたプログラムを設計する必要があります。COM-B行動変容ホイールを用いて、従業員の能力、学習の機会、動機付けのレベルを評価し、直感的な行動をターゲットにした介入を設計することが重要です。

セキュリティ文化を構築する際には、エラーや不正行為への恐怖に基づく現在の文化から脱却し、よりポジティブな文化を育成する必要があります。これには、役割固有のプログラムや体験学習、ゲーミフィケーションを取り入れた教育方法の多様化が求められます。また、組織全体のキャンペーンを通じてポジティブな文化を強化することも有効です。これらの取り組みが成功するためには、組織の全レベルでのサポートが不可欠です。

プログラムの効果を測定するためには、人為的エラーによるリスクをどの程度軽減したかを評価する指標が必要です。リスク定量化のような現代的なアプローチを取り入れることで、プログラムの成功を評価し、継続的に改善していくことができます。

IBMは、クライアントがセキュリティプログラムを人間の行動に焦点を当てたものに転換するためのサービスを提供しています。従業員の動機付けや習慣に合わせた介入を評価し、各個人がサイバーセキュリティの先駆者となるよう力を与えることで、新たな脅威に対する強固な第一線の防御を構築するお手伝いをしています。

from Building the human firewall: Navigating behavioral change in security awareness and culture.