政府機関、民間企業、非営利団体は何十年にもわたり、従業員に怪しいリンクをクリックしたり、信頼できないファイルをダウンロードしないよう教えてきましたが、最近の証拠によると、こうしたサイバーセキュリティ意識向上トレーニングはほとんど効果がなく、場合によっては逆効果であることが示唆されています。
組織は、フィッシングシミュレーションから年次ウェビナーまで、サイバーセキュリティ教育に依存して従業員にデジタル脅威の識別と防御を教えています。セキュリティ業界は「人が最も弱いリンクである」とし、トレーニングを解決策として強調し、その需要に応えるためサイバーセキュリティトレーニングプログラムの新産業が生まれました。しかし、これらのプログラム―現代のセキュリティ戦略の要―は的を外しています。
Cybersecurity Diveが2008年以降に発表された十数件以上の研究やメタ分析をレビューしたところ、一般的なサイバーセキュリティトレーニング手法は、人々がフィッシング攻撃に引っかかる可能性を大幅に減らすことはなく、場合によってはむしろ引っかかりやすくしていることがわかりました。これらの研究は、義務的なトレーニングの価値に疑問を投げかけ、テストに失敗した人へのレッスン内容を批判し、過去の研究の方法論的欠陥を指摘しています。
「現状の意識向上トレーニングは解決策ではありません」と、人間行動を研究するサイバーセキュリティ研究者でコンサルタントのArun Vishwanath氏は言います。「私が使う例えは、医者のところに行って薬を投げつけられる、これが意識向上トレーニングです。そしてまた戻ってきても患者はまだ病気のままで、さらに薬を与え続け、最後には患者のせいにするのです。」
意図しない結果
サイバーセキュリティトレーニングを実施するほとんどの組織は、年次や月次で行う定期的な評価と、ユーザーがフィッシングテストに失敗した際に表示される埋め込み型トレーニングレッスンのいずれか(または両方)を用いています。しかし、最近の研究では、これらの主要な手法の有効性に疑問が投げかけられています。
シカゴ大学とカリフォルニア大学サンディエゴ校の研究チームが夏に複数の会議で発表した広く議論された論文によると、「年次のセキュリティ意識向上トレーニングがフィッシング失敗の減少と相関する証拠は見つからなかった」とのことです。研究者たちは、最近トレーニングを受けた人の方が良い成績を出すと予想していましたが、彼らの研究では、ユーザーが最近フィッシングトレーニングを受けたかどうかと、フィッシングテストの成績との間に有意な関連性は見られませんでした。
「年次の意識向上トレーニングは、ユーザーに意味のある新しい知識や教育を提供していません」と、シカゴ大学のコンピュータサイエンス助教授で研究著者の一人であるGrant Ho氏は述べています。
Ho氏と共著者は、サイバーセキュリティコミュニティは「現状のトレーニングが本当に意味のあるセキュリティ上の利益をもたらしているのか再検討すべきだ」と記しています。
是正レッスンの割り当て方法にも同様に深刻な問題があります。
まず、レッスンはテストに失敗した人だけに提示されるため、将来的に失敗する可能性のある他の人を除外してしまいます。「この設計は、1つのフィッシング誘導に引っかからなかったユーザーは今後の攻撃から守るためのトレーニングが不要だと暗黙のうちに仮定しています」とHo氏らは書いています。「残念ながら、我々の組織の大多数のユーザーは、十分な時間があれば最終的にシミュレートされたフィッシング攻撃に引っかかることが分かりました。」埋め込み型フィッシングレッスンは必要な人全員に届かないため、非効率な教育方法だと研究者たちは述べています。
他の研究では、失敗したユーザーにすぐに今後のテストの合格方法を提示することの重要性にも疑問を投げかけています。2024年後半に発表された研究では、チューリッヒ工科大学の研究者が「従業員に演習について知らせ、事件の翌日にトレーニング資料を案内することは、『即時』の埋め込み型トレーニングと同等の効果があるようだ」と述べています。つまり、失敗直後に人々に直面させる必要はありません。
2021年、チューリッヒ工科大学の研究者はさらに懸念される結果を埋め込み型トレーニングの研究で報告しました。この手法は「従業員をフィッシングに対してより強くすることはなく」、むしろ「従業員をさらにフィッシングに引っかかりやすくする」副作用があると書かれています。
研究者たちは最近の論文でこの発見を詳述し、埋め込み型トレーニングは「従業員に自分の能力や、フィッシングテストでのミスに結果が伴わないという過信を生む可能性がある」と記しています。埋め込み型トレーニングは「誤解や過信を生み出す」可能性があるため、導入には注意が必要だと述べています。
研究ではまた、義務的トレーニングがフィッシング攻撃に最も引っかかりやすい人々への有効な介入策ではないことも示唆されています。
2024年のチューリッヒ工科大学の研究では、フィッシングテスト参加者を2つのグループに分け、一方のグループには2回失敗すると義務的トレーニングになると警告しました。2グループ間の成績に統計的に有意な差はありませんでした。「最も引っかかりやすい参加者にとっては、義務的トレーニングは追加的な利益をもたらしませんでした」と研究者は記しています。
ハーバード大学とその関連医療機関の研究者も、2019年の研究で同様の結果を得ました。彼らは無名の医療機関の5,400人以上の従業員に20回のフィッシングキャンペーンを実施し、15回目のキャンペーン後、少なくとも5回誘導に引っかかった人に義務的トレーニングを受けさせました。トレーニングは「クリック率に大きな影響を与えず、違反者は引き続きフィッシングシミュレーションをクリックしやすいままでした」と記されています。
効果は一時的
トレーニングによって人々のフィッシング攻撃の見抜き方が向上したように見える場合でも、その効果は長続きしませんでした。
「持続的な行動変容を促すプログラムの成功に関する証拠は限られている」と、オーストラリア・アデレード大学の3人の研究者は2023年のレビューで、フィッシング意識向上トレーニングプログラムに関する数十件の研究をまとめています。
別の研究によると、2020年の会議で発表されたこの研究では、トレーニング直後と4か月後には本物と偽物のメールを区別する能力が大幅に向上しましたが、6か月後にはその効果が消失していました。
「私たちの習慣は、受けるちょっとした後押しよりも強い」とVishwanath氏は述べ、リスクに関する先入観の方が「一時的なトレーニング資料よりも慣性がある」と付け加えました。
知識だけでは不十分
効果的なセキュリティ意識向上トレーニングの最大の障害の一つは、知識を行動に変換する難しさです。トレーニングセッションは人々にフィッシング攻撃の識別方法を教えるかもしれませんが、それでも攻撃から守ることには失敗します。人間の行動は知識、態度、インセンティブが複雑に絡み合っており、多くのトレーニングプログラムは人々の行動の理由を理解していません。
「トレーニングはエンドユーザーの行動の予測因子(態度や知識など)を大きく向上させますが、実際の行動の変化は最小限しか観察できません」と、オランダ・ライデン大学の研究者は2024年の69件の研究のメタ分析で述べています。
「私たちは行動の前提となる要素を変えることには非常に長けていますが、実際に安全に必要な行動自体を変えることはできていません」と、ライデン大学の博士課程生でメタ分析および他の最近のレビューの共著者であるJulia Prümmer氏は述べています。
オックスフォード大学の研究者も2019年の論文で同じ結論に至りました。
「知識と意識は行動変容の前提条件ですが、必ずしも十分ではありません。だからこそ、他の影響戦略と組み合わせて実施する必要があります」と彼らは書いています。「質問に正しく答えられることは、意識向上プログラムで得た知識に従って行動する動機があることを意味しません。」
2024年のチューリッヒ工科大学の研究では、定期的な「ナッジ」(フィッシング攻撃の危険性や防御の重要性を思い出させるリマインダー)が、トレーニングモジュールの内容よりもフィッシングトレーニングの効果を高める主な要因であることが分かりました。「最も引っかかりやすい参加者」でさえ、トレーニング内容は役に立たないと述べていました。
チューリッヒ工科大学の上級研究員で研究共著者のKari Kostiainen氏は、ナッジと内容に関するこの発見は、組織が「フィッシング防御全体を再考する」きっかけになるべきだと述べています。
「テストや騙すことに重点を置くのではなく、リマインダーや報告に重点を置くべきかもしれません」と彼は言います。
「作られた」条件への批判
数多くの研究が長年にわたり示してきた発見によれば、セキュリティ意識向上トレーニングは人々のセキュリティ実践を向上させるとされていますが、方法論上の問題から、これらの発見は当初思われていたほど意味がない可能性があります。
フィッシングトレーニングの多くの研究は、研究室でテストを受けるボランティアを対象にしています。この環境では、参加者はトレーニング資料に強く関与し、フィッシングの危険に警戒しているため、現実離れした「トレーニング効果の高い結果」が得られる可能性があると、シカゴ大学とカリフォルニア大学サンディエゴ校の研究者は最近の論文で指摘しています。彼らの発見によると、「現実の場面で埋め込み型トレーニングに関与するユーザーは非常に少ない」とのことです。
オーストラリアの研究者は、「作られた実験条件下」で行われた研究の価値の限界を強調し、「自然な状況下で持続的な行動変容を促すプログラムの成功を本当に示すものではない」と述べています。
有望な結果を示した研究の中には、自身の限界を認めているものもあります。2008年の論文では、フィッシング意識向上ビデオの効果について、ドイツとスコットランドの研究者チームが、参加者の成績は「間違いなく『ベストケース』シナリオとみなすべき」であり、実際の検出率は現実世界ではもっと低い可能性が高いと指摘しています。
フィッシングトレーニング研究は他にも方法論的な限界があると、2024年の文献レビュー(ライデン大学チーム)によれば、いくつかの研究はサンプルサイズが小さく、他は参加者を十分な回数テストしていないため、だまされやすさを信頼性高く判断できませんでした。さらに他の研究では、評価前に参加者に1回しかトレーニングを提供しませんでした。
文献レビューの著者によると、場合によっては研究者が間違った指標を重視していたこともあります。「成果測定はしばしばサイバーセキュリティ行動に関心を持たず、行動意図、態度や認識の変化、その他の指標に焦点を当てていました」と彼らは書いています。多くの行動理論はこれらの要素を行動変容の予測因子として特定していますが…この関連性はしばしば弱いのです。」
根本原因の理解と習慣の形成
「一般的に導入されているトレーニング形態は、わずかまたは最小限の保護効果しかもたらさない」というのが現時点での学術的コンセンサスだと、シカゴ大学のHo氏は述べます。そして、トレーニングプログラムを改善するには、その設計、提供、評価方法を大きく変える必要があります。
オックスフォードの研究者は、フィッシングトレーニングは実証済みの説得戦略を用いて行動変容に焦点を当て、逆効果な手法は避けるべきだと述べています。彼らの推奨事項の一部:
- 人を怖がらせたり恥をかかせたりすることは「効果的な戦術ではない」
- 教育コンテンツは「ターゲットを絞り、実行可能で、実践的であるべき」
- 組織はユーザーが良い習慣を身につけるために「継続的なフィードバック」を提供すべき
また、組織は人々のセキュリティに対する態度を形成するトレーニングを優先すべきであり、それが動機、そして行動に影響を与えると研究者たちは述べています。
Vishwanath氏は、フィッシングに引っかかる人間の衝動を分類するモデルを作成しており、現在の意識向上トレーニングは行動科学を無視し、容易に拡張可能な一律の知識伝達を優先していると主張しています。
「これらのプログラムはどれも習慣の修正には取り組んでいません」と彼は言います。また、セキュリティ脅威に関する誤解にも対処していません。「自分の行動のリスクについてどう考えているかは非常に重要です。セキュリティ意識向上プログラムはこれに全く対応していません。」
Prümmer氏も同意します。「埋め込み型トレーニングは、なぜ誰かがフィッシングメールに引っかかるのか、その根本原因を見ていないことが多い」と彼女は言います。「まず、なぜオンラインで被害が増えるのかを理解しないと、それを修正することはできません。」
最終的に、すべての組織や状況に通用するトレーニング方法はありません。なぜならユーザーの問題行動は多様だからです。「私たちは、対応しようとする各サイバーセキュリティ行動ごとに適したトレーニング手法を見つける必要があります」とライデン大学の研究チームは主張しています。
今後は、Vishwanath氏によれば、研究者は多くの規制企業が使わざるを得ないプログラムを批判するよりも、欠陥のあるトレーニングの修正に注力すべきだと述べています。
現時点では、企業や政府機関は、意識が大幅に高まったにもかかわらず急増する侵害に依然として脆弱なままです。
「サイバー・レジリエンスという点では、[意識向上キャンペーン]以前と比べて進歩しているとは思いません」とVishwanath氏は言います。「私たちは何か対策をしている気になっています。多くのお金を使ってきました。でも、本当に良くなったのでしょうか?私はそうは思いません。」
翻訳元: https://www.cybersecuritydive.com/news/cybersecurity-awareness-training-research-flaws/803201/
