“3人に1人が攻撃の罠にはまる可能性”KnowBe4、サイバー攻撃の実態についてのレポートを公表

ECのミカタ編集部

KnowBe4社(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman 、読み方:ストゥ・シャワーマン)は、2021年度版の業界別フィッシングベンチマーキング調査レポートを公表した。

PPP (Phishing Prone Percentage:フィッシング詐偽ヒット率) は社員ひとり1人がどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するもので、同レポートはPPPを業界別のベンチマーキングとして統計分析されたものだ。ここではその概要についてポイントを絞って見ていく。

3人に1人が攻撃の罠にはまる可能性

同ベンチマーキング調査では、ベースラインベンチマーキングにおいて、KnowBe4のトレーニング開始前に、これまでにセキュリティ意識向上トレーニングを実施したことがない企業や組織に対して現状把握が行われている。

このベースラインベンチマーキング集計結果によると、トレーニング前の全業種および全組織規模の平均PPPは31.4%で、従業員の約3人に1人がフィッシング攻撃の罠にはまる可能性があると指摘されている。

この数値は、セキュリティトレーニングを実施しない場合、規模や業種に関係なく、すべての企業や組織がフィッシング攻撃やソーシャルエンジニアリング攻撃に対して、昨年同様に極めて脆弱であることを示している。

すべての企業や組織がサイバー攻撃のリスクがある

KnowBe4のCEOであるStu Sjouwerman(ストゥ・シャワーマン)氏は、同ベンチマーキング調査結果について、次のようにコメントしている。

「今回の業界別の調査結果を見ると、サイバー攻撃のリスクに最も晒されている業界として、人命や人の生活に大きな影響を持つ電気・水道・ガスなどの重要インフラや医療機関・製薬業界を挙げています。これは、極めて憂えるべき結果です。

データ漏洩の大半はソーシャルエンジニアリングに起因することを考えれば、すべての企業や組織がサイバー攻撃のリスクを監視し続けることは不可欠です。今回の統計データは、サイバー攻撃から組織を守るためには、セキュリティ意識向上トレーニングとフィッシング演習を継続的に実施することが極めて有効であることを裏付けています」

適切なトレーニングで改善する

同社によれば、90日間のKnowBe4のトレーニングとフィッシング演習の結果、平均PPPは約50%改善され、31.4%から16.4%へとほぼ半減したとしている。その後、1年間にわたり月次のフィッシングテストと継続的なトレーニングを実施することで、PPPは大幅に改善され、4.8%までに減少したそうだ。全業種平均で、1年間にわたるトレーニングと演習によって、84%の改善率をしたとのことだ。

業務用のメールなどに偽装して悪意あるプログラムの導入やサイトへ誘導し、PC内の重要データを盗み出したり、クレジットカード番号やアカウント情報などを盗みだすフィッシング詐欺。非常に巧妙な手法のため、インターネットやデバイスに一定の知見のある人でも容易に騙される傾向にある。

その危険は、EC事業を営む上でも等しく存在することになるが、今回のレポートでは、適切なトレーニングをすれば、被害を半減できることも示している。攻撃する側は、常に一歩先を行っていることを認識して、日ごろから備えることも必要となりそうだ。

ECのミカタ通信21号はこちらから


記者プロフィール

ECのミカタ編集部

ECのミカタ編集部。
素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。

ECのミカタ編集部 の執筆記事