フィッシング訓練は企業のセキュリティ戦略の定番ですが、現在のアプローチはあまり効果的でないことが研究で示されています。
フィッシングは古くからある攻撃手法です。IBMによると、これらの攻撃は全データ侵害の15%を占めています。セキュリティリーダーはリスクを十分に認識しており、企業が従業員に何らかのフィッシング訓練を受けさせるのは一般的です。しかし、その訓練はユーザー、ひいては雇用主を、あまり安全にしていないようです。
「リスクや危険性への認識が高まっているにもかかわらず、成功する攻撃の数は増え続けています」とカーネギーメロン大学情報システム学部助教授のナアマ・イラニー=ツァー氏は言います。
フィッシング攻撃の件数を見るだけでも、何か別の対策が必要だとわかります。さらに、フィッシング訓練がいかに効果的でないかを示す研究も増えています。では、これらの訓練プログラムを主導する立場のセキュリティリーダーはどうすればよいのでしょうか。自社のフィッシング訓練戦略を評価し、潜在的なギャップを考慮し、アプローチを変える方法を模索する必要があります。
フィッシング訓練の一般的なアプローチ
年次のサイバーセキュリティ訓練は、フィッシング認識を高める自然な場です。結局のところ、忙しい従業員が知っておくべき多くの攻撃手法の1つです。
「私がこれまで受けてきたフィッシング訓練は、常に一般的なセキュリティ意識訓練の一部でした」と、アドバイザリー企業Baker Tillyのサイバーセキュリティディレクター、ジェイソン・オクセンヘンドラー氏は言います。「年に一度、ラーニングマネジメントシステムを通じて行われます。注意を払う人もいれば、そうでない人もいます。」
多くの企業は、組み込み型のフィッシング訓練にも頼っています。従業員が模擬フィッシングメールなどの誘いに反応すると、フィッシングに関する情報やクイズを提供するウェブページにリダイレクトされます。
これら2つのアプローチが広く使われているのは理にかなっています。企業は一般的なサイバーセキュリティ問題への認識を高めたいと考えており、組み込み訓練はその場限りの介入です。では、何が問題なのでしょうか?
フィッシング訓練の効果は限定的
シカゴ大学コンピュータサイエンス助教授のグラント・ホー氏は、UCサンディエゴおよびUCサンディエゴ・ヘルスと協力し、年次訓練と組み込み型フィッシング訓練の有効性を評価しました。彼らの研究では、UCSDヘルスの約20,000人の従業員が8か月間にわたって模擬フィッシングキャンペーンにどのように対応したかを分析しました。その結果、年次サイバーセキュリティ訓練が従業員のフィッシング失敗率を改善する証拠は見つかりませんでした。
「訓練を終えたばかりの人と、かなり前に訓練を終えた人とで、フィッシングへの脆弱性に違いは見られませんでした」とホー氏は言います。
組み込み型訓練の結果もほとんど変わりませんでした。研究者たちは、訓練セッションの37%から51%がユーザーに全く利用されていないことを発見しました。ユーザーはページを単に閉じてしまうのです。「現在のように展開されている訓練だけでは、他者をフィッシングから守るには明らかに不十分であり、期待されているような効果は得られない可能性が高いことが示唆されます」とホー氏は述べます。
なぜ訓練はそれほど効果がないのでしょうか?ユーザーの関与と行動が大きな要因です。多くの場合、人々は訓練に積極的に参加せず、参加しても情報の定着率は高くありません。
「訓練は、請求できないやるべきことリストの一つに過ぎません」とオクセンヘンドラー氏は指摘します。
人々はフィッシングについて知っています。これらの攻撃がどれほどの被害をもたらすかも知っています。しかし、彼らは自分の仕事をこなすのに忙しいのです。現在の訓練は、無視するか、リストを消化するために急いで終わらせるものになっています。自分の仕事と絶え間ないフィッシング攻撃に追われている従業員を想像してください。気が散った一回のクリックで十分なのです。
「サイバー訓練疲れは依然として存在します」と、全米サイバーセキュリティ協会(NCSS)のディレクター兼共同創設者チランジーブ“CJ”ボルドロイ氏は言います。「疲れがあると、たいてい無関心につながります。」
セキュリティリーダーがフィッシング訓練を見直す方法
訓練が遅れをとっていた場合、脅威が進化するにつれてさらに遅れをとるリスクがあります。生成AIの登場でフィッシングはますます巧妙化しています。セキュリティリーダーには大きな課題が待っています。訓練も進化が必要であり、それはより大きな文化的課題の一部に過ぎません。
「経営層やリーダーシップがセキュリティ文化を意識していなければ、ワシントン・ポストの一面を飾るか、巨額の罰金を支払う羽目になるまで問題視されません」とオクセンヘンドラー氏は言います。
サイバーセキュリティのあらゆる要素を、訓練であれそれ以外であれ、チェックリスト的なアプローチから統合された文化的価値へと変えるのは大きな課題です。フィッシング攻撃を阻止する能力を高めるには、トップの予算や支持を得るだけでなく、個々のユーザーの行動を変えることも重要であり、それはむしろ難しいことです。
「ユーザー行動は全く技術的なものではありません。ユーザー行動は原始的です」とボルドロイ氏は言います。「1回の訓練でユーザー行動を変えることはできません。」
イラニー=ツァー氏は、ユーザー行動とフィッシング攻撃への脆弱性に関する研究を実施しました。この研究は、デバイスの種類がユーザー行動に影響を与えることを明らかにしています。PCユーザーはモバイルユーザーよりもリスクの高いクリックをする傾向があります。デバイスごとにユーザー行動がどのように異なるかを理解することで、セキュリティリーダーは訓練やその他のフィッシング対策について、よりきめ細かな判断ができるかもしれません。
現時点で、最も効果的なフィッシング訓練プログラムの決定的な答えはありません。しかし、専門家たちは模索を続けています。イラニー=ツァー氏は行動科学的な視点に注目しています。「重要な問いは、リスク回避を促す心理的メカニズムや代替案の設計は何か、ということです」と彼女は言います。
彼女は心理学者ダニエル・カーネマンが提唱したシステム1とシステム2の思考モデルを指摘します。前者は自動的かつ感情的な思考、後者は合理的で熟慮した思考です。「これは自動的な思考様式、つまりシステム1の行動に関するものです」とイラニー=ツァー氏は言います。「ユーザーの自動反応を正しいもの(つまり、怪しいリンクをクリックしないこと)にどう訓練できるでしょうか?」
この問いへの答えはまだ開かれています。イラニー=ツァー氏は、ユーザーがフィッシング攻撃を受けた際に頼れる簡単な行動パターンを学ぶ必要があると主張します。「この時点で私は何をすべきか?誰に連絡すべきか?報告用のホットラインは?どんな行動を取ればいいのか?」と彼女は言います。「リスクは認識しているが、攻撃に対処するための簡単な行動指針は何か?」
人間の行動を書き換えるのは非常に大きな課題です。セキュリティリーダーが登山装備を用意する必要はありませんが、だからといって「効果がなくても何もしないよりはマシだ」と手をこまねいていてよいわけではありません。
フィッシング訓練は変えることができます。セキュリティ訓練のゲーミフィケーションがユーザーの関与を高めるという兆候もあります。企業は訓練をよりインタラクティブにし、インセンティブで魅力を高めることもできます。「小さなギフトカードでも人を報酬にできます」とボルドロイ氏は言います。「大きな攻撃を防げた場合には、チームにオフサイトや楽しいイベントを報酬にすることもできます。」
その一方で、フィッシング訓練を繰り返し未完了・不合格となった場合に罰則を設ける可能性もあります。アメとムチのアプローチには魅力がありますが、セキュリティリーダーは訓練アプローチ自体の価値も認識することが重要です。そもそも効果のない訓練プログラムへの参加を罰したり報酬を与えたりするのは、あまり意味がありません。
訓練プログラムは従業員の現状に合っていますか?さまざまな学習スタイルに対応していますか?在宅勤務やハイブリッド勤務の普及を考慮していますか?
訓練が終わっても仕事は終わらない
最終的な問い、「自分のフィッシング訓練プログラムは機能しているか」には、実際の答え、あるいは少なくとも答えを出そうとする努力が必要です。見るべき指標があります。人々は訓練を完了していますか?何人が失敗していますか?同じ人が繰り返し失敗していますか?実際のフィッシング攻撃をどれだけ阻止できたか、できなかったか?
これらの訓練プログラムで何が機能し、何が機能しないかを理解することは継続的なプロセスであり、大幅な見直しが必要なようです。
「型にはまらないアプローチが必要です。常識を打ち壊し、創造的で、人々の現状に合い、苦痛でないものを考え出す必要があります」とオクセンヘンドラー氏は言います。「しかし同時に、私たちがセキュリティに本気であることを伝え、あなたも本気で取り組む必要があると示すべきです。」
訓練は常に改善できますが、人間がサイバー攻撃にとって最も脆弱なターゲットであることを、すべてのセキュリティリーダーは知っています。そして、どんなに優れた訓練方法でも、それだけでは十分ではありません。
「フィッシング訓練は、概して、組織の攻撃への脆弱性を減らすのにあまり効果的な方法ではありません」とホー氏は言います。「たとえば二要素認証やフィッシング検知など、他の対策も導入して、組織をこれらの攻撃から本当に守るべきです。」
