Last Updated on 2024-06-02 23:35 by admin
Googleのセキュリティチームは、従業員のフィッシング詐欺への警戒心を高めるために年間「フィッシングテスト」を実施している。これらのテストでは、フィッシングメールを送信し、従業員がそのメールにどのように反応するかを評価し、フィッシングを見破る方法を教育する。しかし、これらのテストが実際にフィッシング攻撃の成功率を下げる証拠はなく、一部の研究では、テストが反生産的な効果をもたらすことを示している。また、フィッシングテストは従業員に不信感を抱かせ、セキュリティチームとの信頼関係を損なう可能性がある。
Googleは、フィッシング対策として「フィッシングファイアドリル」の実施を提案している。このドリルでは、フィッシングメールを見分け、報告する方法について従業員を教育し、実際にフィッシングメールを報告する練習をさせる。このアプローチは、従業員がフィッシング攻撃を即座に報告することで、企業が迅速に対応できるようにすることを目的としている。
さらに、Googleは長期的には「セキュア・バイ・デフォルト」のシステムの追求と、パスキーのようなフィッシングに強い認証手段や、セキュリティ上重要な操作に対する複数者の承認を要求するシステムの実装により、フィッシングやソーシャルエンジニアリングのリスクに対処することがより効果的であると主張している。
【ニュース解説】
Googleのセキュリティチームは、従業員がフィッシング詐欺に対してより効果的に対処できるようにするための新しいアプローチを提案しています。これまでのフィッシングテストは、従業員にフィッシングメールを送り、その反応を評価することで、フィッシングを見破る方法を教育してきました。しかし、これらのテストが実際にフィッシング攻撃の成功率を下げる効果があるかどうかについては疑問が残ります。研究によると、テストは従業員にストレスを与え、セキュリティチームとの信頼関係を損なう可能性があることが示されています。
この問題に対処するため、Googleは「フィッシングファイアドリル」という新しい形式の訓練を提案しています。このドリルでは、従業員がフィッシングメールを見分け、報告する方法について教育され、実際にフィッシングメールを報告する練習をします。このアプローチの目的は、従業員がフィッシング攻撃を即座に報告することで、企業が迅速に対応できるようにすることです。
さらに、Googleは長期的な解決策として、「セキュア・バイ・デフォルト」のシステムの追求を提案しています。これには、フィッシングに強い認証手段(例えばパスキー)の導入や、セキュリティ上重要な操作に対する複数者の承認を要求するシステムの実装が含まれます。このようなアプローチにより、フィッシングやソーシャルエンジニアリングのリスクに対するより効果的な対処が可能になると考えられます。
この提案は、従業員を単なるリスク要因としてではなく、セキュリティ対策の重要な一部と見なすことの重要性を強調しています。従業員がフィッシング攻撃を正確に識別し、迅速に報告することができれば、企業はより迅速に対応し、潜在的な被害を最小限に抑えることができます。また、セキュリティ教育をストレスの原因ではなく、ポジティブな体験に変えることで、従業員とセキュリティチームの間の信頼関係を強化することができます。
このアプローチは、フィッシング攻撃に対する防御策を再考し、従業員の教育とシステムのセキュリティ強化の両方に焦点を当てることで、企業のセキュリティ体制を全体的に強化することを目指しています。
from On Fire Drills and Phishing Tests.
