Human activated risk still a pain point for organizations
2022/04/11 HelpNetSecurity — 広範囲に及ぶ業種の IT セキュリティ・リーダー 600人を対象に、脅威が高まる環境下という前提で、それぞれの組織のセキュリティ態勢について、匿名での調査が実施された。Egress の調査レポートによると、IT リーダーの 56% の回答として、セキュリティ攻撃に対して非技術系の従業員は、ある程度は備えている、あるいは、まったく備えていない、ことが明らかになった。さらに、回答者の 77% が、パンデミックが引き起こしたリモート化により、セキュリティ侵害が増加したと回答しており、組織には大きなリスクが存在し続けていることが判明した。
人間が引き起こすリスクは、悪意の行為者による強制や、ヒューマン・エラーといった、人間の行動や行為によって引き起こされるものだ。あらゆるテクノロジーには、想定外の動作や誤動作などがあるが、多くの場合において、それを操作する人間に原因がある。不注意/悪意/詐欺行為などがあったにせよ、人間は故意/無意識に大量のリスクを発生させ、セキュリティ・チームの仕事を増やすことがある。
人間が起点となるリスクと関連する主な攻撃
- 人為的なミスによるデータ消失事故
- 従業員によるスピアフィッシング
- ビジネスメールの漏洩
今回の調査結果によると、従業員が被害に遭う攻撃やリスクの上位には、不慮のデータ損失/悪意のデータ流出/フィッシング遭遇などがあるが、いずれも人間が引き起こしたリスクの結果であることが判明した。
この調査では、ITリーダーの 39% が、インバウンドのフィッシング攻撃から身を守るために、Microsoft 365 や Google が提供するネイティブ・プロテクションに依存していることが分かった。また、39% 以上の組織が、現時点で6つ以上のセキュリティ・ソリューションを導入していることも明らかになった。
これらアプローチは、根本的な原因を探るのではなく、問題に対処するために数多くのソフトウェアを導入することで、改善されることを望んでいるように見受けられる。
その他の重要な調査結果
- IT リーダーの 30% が、誤送信によるデータ損失を検知するソリューションの導入について、分からないと回答している。
- 回答者の 60% は、現在導入しているアクティブなセキュリティ・ソリューションに課題を感じている。
- 調査対象者の約 30% (±180人の IT リーダー) は、人為的なリスクとは何かを理解していない。
Egress の VP of Threat Intelligence である Jack Chapman は「このような背景から、一連の脅威から組織を護る責任者である IT リーダーの多くが、従業員のサイバー攻撃への対処が不十分であると感じていることは、憂慮すべきことだ」と述べている。
彼は、「セキュリティ・インシデントの主要因は、人間の活性化リスクであるという調査結果もあり、多くの組織は脆弱な立場にあり、広範で深刻なサイバー・セキュリティの脅威にさらされていることは明らかだ」と述べている。
さらに、「組織は、攻撃者に対する防御を強化し、適切なトレーニング・プログラムを提供し、内部から発生するリスクに取り組むために、有意義な行動を取らなければならない。 まずは、従業員からである。組織はセキュリティ態勢を再評価し、自身と社員を守るための強固な態勢を確保すべき時にある」と結論づけている。
サイバー・セキュリティにおいて、最大の弱点は人間であり、また、最大の防御力を発揮するのも人間なのでしょう。同じく、Help Net Security の 2022年3月14日の記事「ゼロトラスト環境の実践:どのようにして人の信頼を構築していくべきか?」は、とても良い記事だと思います。よろしければ、ご参照ください。
IoT OT Security News 