これは誰もが何度も耳にした話ですが、それでもなお、私たちは同じことを繰り返しています。何年にもわたるサイバーセキュリティ啓発キャンペーンや研修、技術の進歩にもかかわらず、同じ基本的なセキュリティの課題が世界中の組織を悩ませ続けています。今年2025年10月のサイバーセキュリティ啓発月間に、Dark Reading、Tech Target Search Security、Cybersecurity Diveの3人のベテランサイバーセキュリティ記者が集まり、苛立たしい現実を検証しました。それは、「私たちはいまだに何十年も前と同じ戦いを続けている」ということです。今月の「レポーターズノートブック」での率直な議論では、なぜパスワード衛生が依然として悪いのか、そしてフィッシング攻撃が依然として有効なのか、私たちがリソースを投入している啓発プログラムが的を外している理由が明らかになります。
Dark Readingの調査によると、サイバーセキュリティ啓発月間中に描かれた現実は厳しいものでした。企業の約30%が、いまだにおなじみの8文字パスワード(大文字・数字・記号の組み合わせ)に固執しています。ご存知の通り、90日ごとに有効期限が切れて皆をイライラさせるあのパスワードです。一方で、セキュリティ専門家は長年、「my cat clarinet loves Sam」のようなパスフレーズを推奨してきました。NISTのガイダンスに従い、長くて覚えやすいフレーズの方が複雑な短いパスワードよりもはるかに破られにくいからです。しかし、この方法を採用しているのはわずか17%です。確かに、企業は徐々にシングルサインオン(34%)やパスワード管理ツール(21%)を導入し始めていますが、あまりにも多くの企業が、もはやデジタル考古学のようなパスワードポリシーに縛られ続けており、現代的なセキュリティとは言えません。
フィッシングの問題は、日常の従業員だけでなく、経営層もこれらの罠に引っかかっていることを知ると、特に身近に感じられます。SiteGuardingの調査では驚くべき事実が明らかになりました。セキュリティポリシーを策定する立場の経営層の64%が、自らフィッシングリンクをクリックした経験があるのです。さらに憂慮すべきは、そのうち17%が、会社の規定で報告義務があるにもかかわらず、報告すらしなかったことです。AIによってフィッシングメールがますます巧妙かつ個別化されている今、攻撃者は人間の心理を突く技術を急速に高めており、私たちは人々にフィッシングの脅威を認識させる研修のスピードを上回っています。もはや明らかな赤信号を見抜くことではなく、ますます巧妙化するデジタル詐欺を見抜くことが求められているのです。
最も落胆すべきは、善意で実施されているセキュリティ研修プログラムが、実は状況を悪化させている可能性があるという事実です。2008年までさかのぼる研究によれば、従来型の啓発研修――毎年受けるあのセッションや、テストフィッシングメールをクリックしたときの「引っかかったね」的な瞬間――は、実際にはクリック率を下げていません。むしろ、偽りの安心感を生み出し、よりリスクの高い行動につながることもあります。問題は、人々がフィッシングの危険性を理解していないのではなく、サイバーセキュリティ専門家が知識の伝達に重点を置いた研修プログラムを設計しており、行動変容には焦点を当てていない点にあります。ある行動心理学者がCybersecurity Diveに語ったところによると、これらのプログラムは人間が実際にどのように意思決定するかを根本的に誤解しているものであり、セキュリティ啓発を技術的な問題として扱い、人間的な問題として捉えていないのです。
レポーターズノートブック ― 全文書き起こし
この書き起こしは分かりやすさのために編集されています。
Dark Readingのタラ・シールズ:皆さん、こんにちは。今回のレポーターズノートブックにご参加いただきありがとうございます。私はDark Readingのニュース担当マネージングエディター、タラ・シールズです。本日は姉妹メディアの代表者と一緒にお届けします。私たちは全員、Informa Tech Targetのサイバーセキュリティメディアグループの一員です。シャロンさん、エリックさん、自己紹介をお願いします。シャロンさんからどうぞ。
Tech Target Search Securityのシャロン・シェア:こんにちは、シャロン・シェアです。Tech Target Search Securityのエグゼクティブエディターを務めており、本日はサイバーセキュリティ啓発月間についてお話しできることを嬉しく思います。
Cybersecurity Diveのエリック・ゲラー:そして私はCybersecurity Diveのシニアリポーター、エリック・ゲラーです。こちらも参加できて光栄です。
DRのタラ・シールズ:ありがとうございます。本日はご参加いただき感謝します。今回は2025年10月のサイバーセキュリティ啓発月間で分かったことを掘り下げていきます。パスワード衛生やパスワード衛生、フィッシングに引っかかるといったニュースを幅広く取り上げました。シャロンさんのグループも、なぜこうしたことが繰り返されるのか調査されたと伺っています。また、エリックさんはユーザー啓発研修がなぜ浸透しないのか、企業が状況を改善するために考慮できる点について深掘りされたそうですね。
まず前提として、Dark Readingではこの月に非常に興味深いアンケートを実施しました。企業や組織がどのようなパスワードプロトコルを採用しているかを尋ね、いくつかの選択肢を用意しました。一つは、従来型の強力なパスワード(一定文字数、大文字・小文字・数字の組み合わせ)です。もう一つはパスフレーズ、例えば「mydogRoverSunday25」のようなものです。
さらに、シングルサインオンも選択肢にあり、これは最近ますます一般的になっています。企業の認証情報を使うだけで、関連するADアプリケーションに自動的にログインできます。
最後にパスワード管理ツールについても尋ねました。これが4つ目の選択肢で、パスワード管理ツールやハードウェアトークンなど、いわば高度で非常に強力なセキュリティです。残念ながら、いまだに多くの企業が、15~20年前の「8桁で記号と数字を含むパスワード」に固執しています。これは残念なことです。約30%がこの方式を選び、シングルサインオン(34%)もほぼ同じくらいでした。これは少し励みになる数字です。その後にフレーズ型パスワード、さらにその後がパスワード管理ツールでした。これらは本当に長い間議論されてきたことです。
パスワード衛生の観点から見ると、企業はなかなか新しい方法を採用していないようです。そしてフィッシングについては、私たちの取材で分かったのは、フィッシングはいまだに有効であり、AI時代においてますます巧妙化し、人々が騙されやすくなっているということです。
ますます、猫とネズミの追いかけっこ、軍拡競争のような状況になってきており、やや膠着状態です。かなり強力な防御策を持っていても、攻撃者はそれを突破するのが非常に上手です。シャロンさん、Search Securityの定番コンテンツを調査してみて、どんなことが分かりましたか?
TTSSのシャロン・シェア:実はとても良い指摘です。パスフレーズについてのご指摘に感謝します。これは最近多くの情報を発信しているテーマで、メールセキュリティのベストプラクティスも更新しました。NISTが複雑性要件を廃止し、「長くて覚えやすく、推測しにくいものにしよう」と提唱したのは6~7年前だったと思います。そこでパスフレーズが活躍します。ある記事で「Guess Your Password」ツール(オンラインのパスワード推測ツール)に「mycatclarinetlovesSam」と入力してみたら、推測に数セプティリオン年かかると表示されました。つまり、パスフレーズは確実に優れており、推奨も増えています。これが大きなポイントです。
フィッシングについても記事を更新しましたが、AIについて少し加えた以外は、ほとんど同じ内容です。結局は「何に注意すべきかを知ること」です。攻撃はより標的型・高度化していますが、基本的なガイダンスは変わりません。「クリックしないこと。不安ならクリックしないこと。」そして、いくつかの調査結果を読むと、経営層の64%がフィッシングリンクをクリックしたと認め、17%は報告すらしなかったそうです。ガイダンスは同じでも、依然として多くの人が引っかかっています。
DRのタラ・シールズ:興味深いのは、ある情報筋によると、その会社では年次研修すら義務付けていないそうです。代わりに、毎日アプリケーションにアクセスする前にいくつかのユーザー啓発クイズに答えなければならない仕組みです。ヨーロッパのサッカークラブのCISOでしたが、さまざまな職種の従業員がいるため特に有効だと話していました。例えば、スタジアムの小売で働く人もいます。
そのため、クイズや、ログイン前にこなさなければならないちょっとした課題が用意されているそうです。これは、年1回の大規模な研修よりも効果的だと感じているようです。エリックさん、調査して分かったことは?ユーザー啓発について深掘りされていましたよね。
CDのエリック・ゲラー:私はこれらのセキュリティ啓発研修プログラムがどれほど効果的かを調べた複数の研究を見ました。私が見たものは2008年までさかのぼりますが、もっと古いものもあるでしょう。最近の研究や文献レビューで分かったのは、こうした研修は実際には人々のクリック率を下げていないということです。研修を受けた後でも、フィッシングテストや悪意あるメールを高い割合でクリックしています。場合によっては、研修によって過信が生まれ、「自分は研修を受けたから大丈夫」と思い込み、かえってフィッシングリンクを多くクリックしてしまうこともあります。
このことから、従業員の耐性を高めたい企業はどうすればよいのか、という疑問が浮かびます。研究によれば、従来型の年2回程度のフィッシングプログラムでは効果がありません。また、フィッシングリンクをクリックした際に「引っかかりましたね。今後知っておくべき情報はこちらです」と伝える、いわゆる埋め込み型研修も効果がないとされています。
DRのタラ・シールズ:それはある意味、恥をかかせるようなものですよね。「ほら、失敗した」と。それでは建設的とは言えません。
CDのエリック・ゲラー:まさにその通りです。私はサイバーセキュリティの心理学に特化した行動心理学者にも話を聞きました。彼は、組織内で従業員が最も安全な行動を取れるようにするにはどうすればよいかを研究しています。彼によれば、この恐怖や恥に基づくモデルは効果がないだけでなく、行動心理学の知見に反しているそうです。つまり、「フィッシングは危険だ、注意しろ」と知識を与えるだけでなく、従業員が「より良くなりたい」と思い、被害に遭わないための態度や行動を身につけるように導く必要があるのです。
私が調査した研究でも、こうした研修プログラムは知識の伝達に重点を置き、行動変容には焦点を当てていないことが分かりました。本当に必要なのは、最終的に行動を変えることです。しかし、プログラムは知識を与えることに設計されており、知識は行動の前提にはなりますが、同じものではありません。これが大きな問題点です。
DRのタラ・シールズ:とても興味深いですね。シャロンさん、これについてどう思いますか?ご自身の調査やまとめた内容と重なる部分はありますか?
TTSSのシャロン・シェア:はい、私たちの著者の一人、デイモン・ガーンがGophish(フィッシングシミュレーションツール)の使い方についてチュートリアルを書きました。その中で強調されていたのは、「従業員を責めるために使わないこと」「間違いを指摘するために使わないこと」です。むしろ、特定のチームやグループで一貫した傾向が見られる場合、どこを改善すべきかを知るためのパーソナライズド研修のきっかけにするのが良いということです。以前の記事でも、著者名は忘れましたが、「人はとにかくクリックしてしまう」という反応について書かれていました。だからこそ、行動心理学の要素を研修に取り入れる必要があるのです。人はとにかくクリックしてしまう、クリックする前に考えない。だからこそ、行動心理学的なアプローチが必要です。
DRのタラ・シールズ:確かに。では結論として、どう思いますか?結局「新しい日、同じ問題」という感じですが、今後状況を変えられる可能性はあるのでしょうか?人々は気づき始めているのでしょうか?
TTSSのシャロン・シェア:はっきりとは言えません。よくゲーミフィケーションや、研修をより楽しくするという話を聞きますが、正直なところ、現実にはあまり見かけません。一部の企業では導入されているかもしれませんが、1時間の研修では効果がありません。
DRのタラ・シールズ:エリックさん、最後にまとめをお願いします。
CDのエリック・ゲラー:私が調査や取材で聞いたのは、「リスクの高い行動の根本原因を理解し、それに基づいて本当に行動を変える研修を設計する必要がある」ということです。行動心理学に立ち返り、人がなぜ自分の利益にならないことをするのか、どうすればより良い意思決定を促せるのかを考える必要があります。間違いを恐れさせるのではなく、正しい行動をとりたくなるように促すことが重要です。
つまり、恥や恐怖によるアプローチから脱却すべきです。私が話を聞いた行動心理学者は、数年前にDark Readingにこの問題について寄稿したこともありますが、こうしたモデルは人間の本質を誤解していると指摘していました。こうした研修プログラムは科学者や行動心理学の専門家ではなく、サイバーセキュリティの専門家によって作られているため、人間の要因を十分に理解していません。彼らは結果(悪い結果を防ぐこと)だけに注目しがちですが、そのためには人間がなぜそのように行動するのかを理解する必要があります。
DRのタラ・シールズ:まさにその通りです。では、今回のレポーターズノートブックはこれで終了です。Cybersecurity Diveのエリック・ゲラーさん、Tech Target Search Securityのシャロン・シェアさん、そして私はDark Readingのタラ・シールズでした。ご視聴ありがとうございました。また次回お会いしましょう。
