企業にとっての大きな懸念の一つは、デジタル脅威からの保護です。侵入やデータ盗難を防ぐための一連の対策、アプリケーション、革新的なソリューションを導入したとしても、問題は高度な技術だけでなく、人間の行動にも左右されます。これは、dataRainのサイバーセキュリティ専門家であるレオナルド・バイアルディ氏の見解です。バイアルディ氏は、サイバー攻撃の74%が人的要因によって引き起こされていると指摘しています。バイアルディ氏は、効果的なセキュリティ戦略には適切な従業員トレーニングが不可欠であることを強調しています。
バイアルディ氏は、企業環境におけるサイバーリスクへの対応において、人間こそが最も脆弱な要素であると考えています。「社内の全員が、データセキュリティの責任を負っていることを認識する必要があります。これは、研修、説明責任、そして部門間のコミュニケーションを通してのみ実現できます。誰もが、自分がさらされているリスクを認識する必要があります。」
この専門家の意見は、セキュリティの脆弱性における人的要因の重要な役割を強調したProofpointの2023年版ヒューマンファクターレポートの調査結果を補完するものです。この調査では、モバイルデバイスを介したソーシャルエンジニアリング攻撃の量が12倍に増加していることが明らかになっています。ソーシャルエンジニアリング攻撃は、一見無害なメッセージから始まり、関係性を構築するタイプの攻撃です。バイアーディ氏によると、これは人間の行動が操作可能であるため発生するとのことです。「伝説のハッカー、ケビン・ミトニックが言ったように、人間の心はハッキングするのが最も簡単な資産です。結局のところ、人間は外部の影響に非常に影響を受けやすい感情的な層を持っており、それが悪意のあるリンクをクリックしたり、機密情報を共有したりするような軽率な行動につながる可能性があります」と彼は述べています。
多要素認証 (MFA) を回避するように設計されたフィッシング キットや、毎月約 94% のユーザーが標的にされているクラウドベースの攻撃も、レポートで最も頻繁に記録されている脅威に含まれています。
よくある間違い
バイアルディ氏は、セキュリティ侵害につながる最も一般的なミスとして、電子メールの信頼性を検証しないこと、コンピューターをロック解除したままにすること、公共のWi-Fiネットワークを使用して企業情報にアクセスすること、ソフトウェアの更新を遅らせることなどを挙げている。
「こうした行動は、侵入やデータ漏洩の危険にさらす可能性があります」と彼は説明します。詐欺に遭わないために、専門家は疑わしいリンクをクリックしないように勧めています。そのため、送信者、メールのドメイン、そしてメッセージの緊急性を確認することを勧めています。「それでも疑わしい場合は、クリックせずにマウスポインターをリンクの上に置いたままにしておくと、URL全体が表示されます。疑わしい場合は、悪意のあるものである可能性が高いです」と彼はアドバイスします。
フィッシング
フィッシングは、企業のメールを攻撃経路として利用する、最も深刻なサイバー脅威の一つです。バイアルディ氏は、フィッシング対策として、従業員への意識向上とトレーニングに加え、堅牢な技術的対策も含めた多層的なアプローチを推奨しています。
ソフトウェアとオペレーティングシステムを最新の状態に保つことは、脆弱性の低減に不可欠です。「新たな脆弱性は日々出現しています。リスクを低減する最も簡単な方法は、システムを最新の状態に保つことです。継続的な更新が不可能なミッションクリティカルな環境では、より堅牢な戦略が必要です。」
彼は、効果的なトレーニングが攻撃の防止にどのように役立つかを実例で示しています。「フィッシングのシミュレーションとトレーニングを実施した後、従業員からのフィッシング攻撃の報告が大幅に増加しました。これは、脅威に対する従業員の批判的思考力が向上したことを示しています。」
バイアルディ氏は、訓練の効果を測定するために、明確な範囲を定め、事前に定義された指標を用いて定期的にシミュレーションを実施することを提案しています。「潜在的な脅威に対する従業員の対応の量と質を測定することが必要です。」
同幹部は、サイバーセキュリティ教育企業Knowbe4のレポートを引用し、ブラジルがコロンビア、チリ、エクアドル、ペルーなどの国に遅れをとっていることを示しています。2024年の調査では、従業員はサイバーセキュリティの重要性を理解しているものの、脅威の仕組みや機能を十分に理解していないという問題が浮き彫りになっています。そのため、安全な慣行を促進する上で組織文化の重要性を強調し、「サイバーセキュリティ文化プログラムが適切に実施されていなければ、企業がこの分野でどの程度の成熟度を持っているかを測定することは不可能です」と述べています。
同スペシャリストは、dataRainが推進するサイバーセキュリティ関連サービスのデリバリーも主導する責任を担っています。dataRainは、メールセキュリティ、コンプライアンスおよび脆弱性評価、エンドポイントセキュリティ、クラウドガバナンスといった、堅牢で迅速に導入可能なソリューションを提供しています。「サイバーセキュリティは継続的な課題であり、情報の保護とシステムの完全性を確保するには人材が不可欠です。トレーニングと意識向上への投資は、組織全体のセキュリティへの投資です。そして、私たちのすべてのサービスには知識移転が伴い、これによりお客様の脅威に対する意識を高めることができます」と彼は締めくくっています。
