私たちは皆間違っていた：フィッシング訓練は効果がない

出典：Yee Xin Tan（Alamy Stock Photo経由）

最近の研究によると、一般的な認識とは異なり、ほとんどのフィッシング認識向上の取り組みは従業員のサイバーセキュリティに実質的な影響を与えていません。

サイバーセキュリティ業界で最も広く繰り返され、最も検証されていないミームの一つが、技術的な対策以上に、従業員にサイバー意識を教育することで組織を最も効果的に守れるというものです。組織の「人的ファイアウォール」を構築し、組織の「最も弱い部分」を守るという考え方です。

この診断自体は正しいです。サイバー攻撃の圧倒的多数は、軽率なリンクのクリックや弱いパスワードなど、何らかの人的ミスによって発生しています。従業員に対する定期的なサイバーセキュリティ訓練という「治療法」は、しばしば繰り返し提唱され、精査されることなく受け入れられています。

私たちが人的ファイアウォールをどれだけうまく構築できているかを検証するため、シカゴ大学、カリフォルニア大学サンディエゴ校（UCSD）、UCSDヘルスの10人の研究者チームが、サイバーセキュリティ業界では前例のない規模の調査を実施しました。2023年の8か月間、彼らは大規模な医療機関であるUCSDヘルスの19,789人の職員を対象にフィッシング訓練の効果を調査しました。今年のラスベガスで開催されるBlack Hat USAイベントでは、2人の研究者がその調査結果について発表します。つまり、特定の状況下ではオンラインのフィッシング訓練が従業員の悪意あるメール識別能力に多少の効果をもたらすものの、その差はごくわずかであり、時には逆効果になることさえあるというのです。

「大きな発見は、これらの標準的な業界向け訓練が、将来的にユーザーがメールをクリックするのを防ぐ効果がないということです」と、共著者でCensysのシニアセキュリティ研究者であるAriana Mirian氏は述べます。ただし、「そこには多くのニュアンスがある」とも付け加えています。

フィッシング訓練に関する研究

Mirian氏が説明するように、「意識向上を優先するという考え方は、研究自体に基づいていました。2000年代や2010年代には、意識を高めることがユーザーを守る道であるという考えを探る研究がいくつかありました。心理学や認知科学の研究でも同様のことが言われています。そのため、多くのセキュリティ専門家がこの考えをセキュリティ分野に持ち込み、『ユーザーに意識を持たせるだけでいい』と言っていたのです。」

この考え方が直感的に納得しやすいこともあり、最近の厳密な証拠に反してこの考えが根強く残っている理由かもしれません。

2021年、チューリッヒ工科大学（ETH Zurich）のコンピュータサイエンス学科の研究者たちが、研究を大手企業の14,000人の従業員を対象に実施しました。15か月にわたり、従業員に教育的な内容を含む模擬フィッシングメールを送信しました。騙された従業員には、悪意あるメールを見分ける方法についてのアドバイスが提示されました。

しかし最終的に、そのアドバイスは従業員が実際のフィッシングメールを見抜く能力の向上にはつながりませんでした。実際、予想外の逆効果 さえ生じました。訓練を受けたことで、従業員は自社がサイバー防御に投資していると感じ、オンライン上でより安全だと感じるようになりました。皮肉なことに、結果として悪質なメールに引っかかりやすくなってしまったのです。

チューリッヒの研究ではフィッシング訓練の一つの手法のみが検証されました。2年後のUCSDの研究では、さらに6,000人の被験者を追加し、さまざまな手法を試しました。年次フィッシングコースに加え、4種類の埋め込み型訓練を調査しました：

結果は厳しいものでした。

ユーザー意識向上型サイバー訓練に関する新たな、期待できないデータ

最も良い結果を出した参加者グループは、インタラクティブ訓練を完了した人々でした。彼らはその後、フィッシングリンクをクリックする可能性が19%低くなりました。つまり、最も効果的な訓練コースを導入した企業でも、従業員の4分の1が約20%改善することが期待できる、という程度です。

静的訓練には全く効果が見られませんでした。これは従業員がほとんど関与していなかったことが大きな要因です。調査で実施された訓練セッションの半数以上が、開始から10秒以内に終了していました。実際に訓練コースを完了した参加者は24%に過ぎませんでした。

皮肉なことに、複数回の静的訓練セッションを受けた従業員は、 フィッシングメールに引っかかる可能性が18.5%高くなりました。研究者たちは、この数字には自己選択バイアス（能力の低い従業員が失敗し、より多く訓練を受ける傾向）があると認めていますが、インタラクティブグループでは同じ傾向は見られませんでした。

さらに落胆させるデータもあります。年次訓練は従業員の悪質なメールへの対応力をリフレッシュすると考えられていますが、調査ではそのような関係は見られませんでした。訓練コースの1か月後でも1年以上後でも、従業員が悪質なリンクをクリックする確率はほぼ同じでした。また、最も訓練を受け成績の良い従業員でさえ、説得力のあるフィッシングメールには15%以上の確率で騙されており、巧妙なメール1通で、どんな訓練の効果も無効化されてしまうことが分かりました。

全体として、サイバーセキュリティ意識向上訓練を受けた従業員のサイバーセキュリティ意識は1.7%向上したに過ぎません。

Mirian氏は、最近の研究と、意識向上訓練が正しい道だと印象づけた過去の研究とのギャップを認めています。「この実験が実際の現場で実施されたことが一因だと考えています」と彼女は推測します。「これはラボ実験でもシミュレーションでもありませんでした。ラボ実験にも有益な点はありますが、バイアスもあります。私たちの研究やチューリッヒの研究が他の研究と異なるのは、実施方法の違いも一因だと考えています。」

今後のフィッシング対策は？

意識向上重視の考え方と危険なほど隣接しているのが、従業員こそが問題だという考え方です。侵害が発生し、組織が大きな損害を受け、法的責任が問われたとき、その責任は必ずしも経営層にあるとは限らない、という発想です。

「これは実際、私が日々の生活や研究でよく考えることです」とMirian氏は言います。「問題は、ユーザーにさらに責任を負わせるべきかどうかです。訓練を通じて『あなたが責任を持ち、学ぶ必要がある』と言っているのです。それとも、システムや組織がその責任を担う方法を探すべきでしょうか。私の個人的な意見としては、一般的にセキュリティは常にユーザーから責任を取り除くべきだと思います。」

彼女の研究は、より高価な一対一の対面コーチングなど、まだ検証されていない訓練方法が効果を発揮する可能性も残しています。また、企業は従業員がサイバーセキュリティを自分の仕事の一部と捉えるよう、インセンティブを与える方法（例えば会社の将来に経済的な利害関係を持たせるなど）を検討することもできます。

あるいは、もっと単純に、組織は不可避な事態に備えて技術的な対策に投資することもできます。「お金の使い道として、ハードウェアによる二要素認証（2FA）などに注力する方が良いかもしれません。万が一突破されても、追加の防御層があるからです」とMirian氏は言います。フィッシング攻撃への解決策が何であれ、彼女は「現在の方法が機能していないことだけは確かです」と付け加えています。