フィッシングを認識するよう人々を訓練することは文化にとっては素晴らしいことですが、安全ネットとしては不十分です。真のセキュリティとは、誰かが悪い日を過ごしたときに壊れないシステムを構築することを意味します。
組織は、フィッシング、ビジネスメール詐欺、認証情報盗難に対して、本質的に同じ方法で10年以上対応してきました。彼らは基本的に、認識トレーニングへの投資、フィッシングシミュレーションの実施、および年間セキュリティモジュールの完了を従業員に要求することを含むプレイブックに従っています。このような取り組みの背後にある理由はシンプルです。人々が悪意のあるメールをより上手に認識し、悪意のある活動を認識できれば、インシデントは減少するという考えです。
しかし、ビジネスメール詐欺による損失額は増加し続けています。認証情報ハーベスティングは依然として成功しています。従来の多要素認証は、中間者フィッシングキットによって頻繁に回避されています。強制下では、経験豊富な財務リーダーを含むシニアエグゼクティブが、引き続き詐欺的な支払いを承認しています。
エンタープライズセキュリティ戦略における誤分類がこの継続性を示しています。認識は文化を促進するが結果を課さない教育的措置であるにもかかわらず、それは統制として見なされています。この区別は、企業がリスクを評価・制御する方法に重要な影響を与えています。
根本的な誤解
真のセキュリティ統制は、個人が何をしているか、知っているか、知っていないかに関わらず、結果を防止、検出、または制限します。条件付きアクセスルールは、たとえば従業員が良い日を過ごしていることに依存しません。ネットワークセグメンテーションは従業員がポリシーを覚えていることに依存しません。同様に、財務における職務分離は、単一の個人が高リスク取引を独立して承認できないようにするためにあります。これらのメカニズムは、行動的完璧さに依存するのではなく、構造的にリスクを制約するように設計されています。
セキュリティ意識には、時間的プレッシャーと不完全な情報を扱う状況における人間の判断を改善することで行動に影響を与えるという独自の目的があります。これらのイニシアチブは悪い判断の可能性を低減できますが、個人差を持つ多様な労働力に一貫した結果を保証することはできません。人間のパフォーマンスは本質的に可変的であり、特に異なる条件に晒された場合、トレーニングはその可変性を排除しません。
組織がセキュリティ意識を「防御層」と呼ぶとき、それは暗黙的に技術的・手続き的安全策と一緒に配置され、リスクの理解と割り当てを歪める可能性があります。したがって、インシデントへの責任は微妙に個人にシフトします。特に従業員が悪意のあるリンクをクリックしたり、詐欺的なリクエストを承認したりしたとき。結果として得られるナレーティブは、しばしば単一の予見可能な誤りがエンタープライズレベルの影響を生じさせることができるシステムを許可したかどうかを検討するのではなく、人為的エラーを強調します。
組織の統制が予見された人為的誤りを予測し、その影響がエンタープライズレベルの害を引き起こす前に制限するために設計されたかどうかを検討することは、より建設的な調査の方向です。
人為的エラーの予測可能性
人為的エラーは、セキュリティインシデントの会話では例外として見なされることがあります。あたかで、違反が防止されるべきだった誰かが犯した誤りのために発生したかのようにです。人為的エラーは複雑なシステムでは常態です。特に大規模な組織では、日常業務が規模、ペース、および対立する議題によって形成されます。関連する質問は、すべての誤りが発生するかどうかではなく、周囲の環境が誤りの不可避な発生を念頭に置いて構築されたかどうかです。
現代のソーシャルエンジニアリングキャンペーンは、組織がどのように機能するかについての洗練された理解を反映しています。攻撃者は、報告系統、財務プロセス、ベンダー関係、および実行スタイルを研究・理解します。時には以前に侵害されたアカウントから得られた情報です。彼らはメッセージを正当な事業活動と一致するようにタイミングを計画し、旅行スケジュール、請求書支払い、四半期末報告プレッシャーと一致するようにメッセージを計画します。多くのビジネスメール詐欺の場合、マルウェアは関与しておらず、従来の意味での技術的エクスプロイトも関与していません。攻撃は、通常の業務に組み込まれた信頼を利用し、確立されたルーチンとシームレスに融合しているため成功しています。
このような条件下では、人間のパフォーマンスの完璧性を期待することは非現実的です。従業員は高量のコミュニケーションを管理し、同時に期限とパフォーマンス期待値と闘っています。シニアリーダーは頻繁に不完全な情報で決定を下し、緊急性をリスクと天秤にかけてビジネスを実行し続けています。リクエストが組織的標準と過去の経験と一致しているように見えるとき、高度なスキルを持つ個人でさえそれを誤解する可能性があります。これらの誤りは認知的負荷、環境的手がかり、および機関的ダイナミクスの自然な結果であり、必ずしも不注意の証拠ではありません。
この現実は航空と医療などの高リスク産業によって認識されており、単一のエラーが災害に変わるのを防ぐためにマルチレイヤーの保護を作成します。チェックリスト、冗長性、およびクロス検証プロセスは、個人が不完全な場合でもシステムが安全に機能することを確保するために、組織的パイプラインの一部として組み込まれています。一方、エンタープライズサイバーセキュリティではこと同じ規律が常に使用されてきたわけではありません。単一の侵害された認証情報または単一の構成エラーは、CrowdStrike騒動で例証されるように、多くの設定で深刻な業務または財務上の害をもたらす可能性があります。そのレベルの脆弱性が存在する場合、システムの権限分布とエラー吸収機能は個人の行動よりも関連性があります。
認識は基本的な保護として機能することはできません
認識が信頼できる統制として機能することを防ぐ構造的制限があります。第一に、認知的負荷と決定疲労は複雑な組織では不可避です。経験豊富な専門家でさえ、プレッシャー下での精査の減少のため誤りを犯し、セキュリティ認識トレーニングはこの人間的現実を排除しません。認識トレーニングは一般的な疑いを増やす可能性がありますが、個人が常に時間的プレッシャー下で情報をトリアージしなければならず、判断における結果として予見可能な時折の不注意が統計的に不可避であるという現実を排除することはできません。
第二に、組織的ダイナミクスはさらに複雑になります。特にこれが強く維持されている従来の社会では。階級と認識された権限は、多くの成功したビジネスメール詐欺インシデントで利用されています。シニアエグゼクティブから来ているように見えるリクエストは、暗黙的に組織にとって緊急で重要です。従業員は、特に緊急の財務懸念に関して、エグゼクティブの指示をサポートするのではなく妨害するように訓練されることが多く、これはビジネスプロセスを遅くする可能性があります。
最後に、多要素認証の広範な採用も、セキュリティの膨れ上がった感覚に貢献しています。MFAはパスワードのみの設定よりもセキュリティを大幅に改善しますが、すべての実装が最新の攻撃方法に耐性があるわけではありません。プッシュ疲労攻撃は定常的な承認パターンを利用し、中間者フレームワークはセッショントークンを盗んで再生することができ、デバイスコード/OAuth同意フィッシングは従来の認証情報盗難なしで継続的なアクセスを提供できます。これらのケースでは、従業員が確立されたセキュリティ手順に準拠する可能性があり、それでも建築設計が許可しているため侵害される可能性があります。
これらの理由を組み合わせると、認識が信頼できる主要な保護ではない理由が示されます。それはベストプラクティスを強化し、エッジのリスクを低減できますが、粗雑なアイデンティティアーキテクチャ、脆弱な財務手順、または不十分な監視を補うことはできません。
人的リスクを設計制約として扱う
より絞り込まれたアプローチは、人的リスクを行動的欠陥ではなく工学的考慮として再構成します。セキュリティリーダーは、すべての潜在的なフィッシング変種を認識するようスタッフを訓練する方法を尋ねるのではなく、孤立して実行された場合に不均衡なリスク量を伴う決定を評価する必要があります。
この点で注目に値する質問は以下を含みます:
- 単一のメールリクエストが高額な転送を開始するのに十分であるべきですか?
- 支払い指示の変更は強制的な別途検証の対象ですか?
- アイデンティティインフラストラクチャは継続的にセッション整合性を検証しますか?
- 異常な財務行動はリアルタイムで検出されていますか?
このシフトは、個人に完璧に行動するよう説得することから、個人が行動していない場合でも復元力のあるシステムを構築することへ焦点をシフトさせます。
構造的統制はどのようなものであるべきか
人的中心の脅威に効果的に対処するエンタープライズ戦略は、継続的な監視なしで機能する防御を含みます。デバイスバウンドパスキーとハードウェアバックアップ認証情報は、フィッシング耐性認証技術の例であり、プッシュベースの操作とトークン傍受への脆弱性を軽減します。静的なMFAプロンプトだけと比較して、デバイスヘルスおよびオンボーディングステータス、地理位置情報の異常、および行動リスク信号も評価する条件付きアクセスポリシーは、より大きな保証を提供します。
同じ方向で、財務ワークフローは職務分離と強制検証を組み込むべきです。高額取引、ベンダーバンキング変更、および緊急支払いリクエストについて、別々のチャネルを通じて二次検証が必要です。トランザクション追跡システムは、異常な支払い額または過去の傾向からの逸脱を検出できる必要があります。
アイデンティティテレメトリにも特別な考慮が与えられるべきです。ビジネスメール詐欺キャンペーンで頻繁に採用される永続性タクティクスは、メールボックスルール、異常な旅行、OAuth付与、特権ロール割り当て、およびセッション異常に目を光らせることによって検出できます。Privileged Identity Managementソリューションを使用して、特権アクセスは時間制限および承認ベースにして、認証情報悪用の被害範囲を減らす必要があります。人為的エラーを排除することはできませんが、これらの予防措置は単一のエラーが深刻な物質的損失をもたらす可能性を大幅に低減します。
非難ゲームからアーキテクチャへ
組織が認識啓発キャンペーンへの重力を選択する理由は理解できます。それらは見える化でき、しばしば既存のセキュリティツールの一部として一括された場合、合理的な価格であり、定量化可能です。一方、アーキテクチャ再設計、アイデンティティ最新化、およびワークフロー再構成にはより多くの資金とクロスファンクショナルな協力が必要です。
しかし、脅威アクターは、現在の企業手順で予測可能な人間の行動パターンを利用するのにますます上手になっています。彼らは、個人が人間になる必要があるだけです。なぜなら、彼らは時間的に敏感な専門職で働くこと、高圧力条件、および結果として生じる無関心に頻繁に伴う緊急性、信頼、および運営上の複雑さを理解しているからです。
合理的な対応は不完全性を仮定し、それに応じて構築することです。
システミックリスクのより誠実な評価
セキュリティ意識は引き続き組織文化の重要な要素です。従業員は一般的な攻撃パターンを理解し、疑わしい活動を報告することが権限を与えられていると感じるべきです。ただし、認識は基本的な保護ではなく、支援的な措置として見なされるべきです。
単一の決定がまだ相当な財務または運用上の害をもたらす可能性がある場合、組織の曝露は設計に根ざしています。復元力のあるエンタープライズは人的エラーが避けられないことを認識し、その身元アーキテクチャ、財務統制、および監視機能がそれを吸収するのに十分な堅牢性があることを保証します。
この方法で認識を再構成しても、その価値は損なわれません。それは正しいカテゴリに配置し、システミックリスクのより誠実な評価を強制します。そのシフトが発生するまで、多くの組織はトレーニングに大きく投資し続ける一方で、構造的弱点は影響を受けたままになり、攻撃者は教育と工学の間のギャップを利用し続けるでしょう。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したい?
