社員のセキュリティ意欲高める施策とは? プルーフポイント「2024 State of the Phish」日本語版公表
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・セキュリティを優先させる方法として報酬の導入が有効である理由
・サイバー保険の概要
今回の解説ニュース
フィッシング詐欺などに関する年次レポートが発表されています。セキュリティを優先させる方法として報酬の導入が有効である理由や、サイバー保険の概要について説明します。
今回のレポートは、日本を含む15ヶ国の7,500人のエンドユーザーと1,050人のセキュリティ担当者を対象に調査したものです。結果として、ユーザーがセキュリティに対する意欲を高める施策として、不適切な行動に罰則を適用することは、最も効果的ではないアプローチであるとセキュリティ担当者にみなされているとしています。
また、ランサムウェアに関するインシデントを経験した組織のうち96%がサイバー保険に加入しており、ほとんどの保険会社では身代金の支払いを支援しているということです。一方で、被害組織が身代金を支払うことで、さらなる攻撃の被害に遭う、犯罪活動の資金援助となるといった問題やリスクをより認識するようになっていることが挙げられています。
さらに、2023年は組織の71%が少なくとも1度はフィッシング攻撃を経験しており、フィッシングに関するインシデントの風評被害も2022年と比較して50%上昇しているということです。
セキュリティを優先させる方法として報酬の導入が有効である理由
セキュリティを優先させる方法として報酬の導入が有効である理由として、インシデントの早期発見と対応促進が期待できることが考えられます。
インシデントの発生自体に強い罰則を与えてしまうと、報告すること自体を躊躇してしまい、結果として、インシデントの被害が拡大してしまうことが考えられます。
今回のレポートでも、罰則は、恐怖、恨み、不信や、意欲や士気の低下といった消極的な効果をもたらす可能性があり、ユーザーが積極的にインシデントを報告したり、サポートを求めたりしなくなるため、セキュリティ侵害のリスクが大きく高まる可能性があるとしています。