2022年度版KnowBe4業界別フィッシングベンチマーキングレポート: セキュリティ教育を受けていない従業員の約3人に1人がフィッシングリンクをクリックしてしまうという実態は変わっていない
ソーシャルエンジニアリングのリスクが最も高いのは、電気・水道・ガスなどの公共インフラ、保険、コンサルティング、医療機関・製薬業界
東京(2022年7月20日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、2022年度版の業界別フィッシングベンチマーキング調査レポートをリリースしたことを発表しました。PPP (Phishing ProneTM Percentage:フィッシング詐偽ヒット率)は従業員ひとり1人がどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するもので、本レポートはPPPを業界別のベンチマーキングとして統計分析したものです。
今回のレポートでは、KnowBe4は19の異なる業種における2,340万回以上の模擬フィッシング訓練/フィッシング攻撃テストの結果を集計し、30,173の組織における950万人以上のユーザーのデータセットを分析しています。KnowBe4では、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標「PPP(Phishing Prone™ Percentage:フィッシング詐偽ヒット率)」を集計しています。これによって、どれくらいの従業員が誤って摸擬フィッシングメールのリンクをクリックした、または感染した添付ファイルを開いたかを可視化しています。
本ベンチマーキング調査では、ベースラインベンチマーキングにおいて、KnowBe4のトレーニング開始前に、これまでにセキュリティ意識向上トレーニングを実施したことがない企業や組織に対して現状把握を行っています。このベースラインベンチマーキング集計結果によると、トレーニング前の全業種および全組織規模の平均PPPは32.4%で、従業員の約3人に1人がフィッシング攻撃の罠に嵌る可能性があると指摘しています。この数値は、セキュリティトレーニングを実施しない場合、規模や業種に関係なく、すべての企業や組織がフィッシング攻撃やソーシャルエンジニアリング攻撃に対して、昨年同様に、極めて脆弱であることを警告しています。また、個別の全世界平均値を見ると、大規模組織は改善されているが、その一方で、ベースラインのPPPが50%を超える業種(電気・水道・ガスなどの公共インフラ、保険、コンサルティング)があります。
ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、驚くべき改善が見られました。90日間のKnowBe4のトレーニングとフィッシング演習の結果、全世界の平均PPPスコアは、32.4%%から17.6%へとほぼ半減しています。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5%までに減少しています。これは、KnowBe4のトレーニングとフィッシング演習が新しい行動習慣を常態化し、より強固なセキュリティカルチャーを醸成していることを示す注目すべき成果です。
KnowBe4のCEOであるStu Sjouwerman(ストゥ・シャワーマン)は、本ベンチマーキング調査結果について、次のようにコメントしています。
「今回の業界別の調査結果を見ると、人命や人の生活に大きな影響を持つ業界である電気・水道・ガスなどの公共インフラや医療機関や金融機関がサイバー攻撃のリスクに最も晒されている業界として挙げています。サイバー攻撃の被害が甚大であることを考えると、このことは深く憂慮されます。情報漏えいの多くがソーシャルエンジニアリングに起因していることを考えると、人的要素の防御を排除することはできません。摸擬フィッシング演習を含む継続的なセキュリティ意識向上トレーニングを実施することは、サイバー攻撃から組織を守り、より安全な組織を築くことにつながります。」
本レポートから注視すべきことは、ソーシャルエンジニアリング攻撃に対抗するためには、テクノロジーが重要な役割を果たすことを疑う余地はないが、サイバー攻撃の人的要因を無視することができないという事実です。
詳細につきましては、KnowBe4の業界別フィッシングベンチマーキング調査レポート(英語版)を下記のリンクからダウンロードしてください。
https://info.knowbe4.com/phishing-by-industry-benchmarking-report-uki
なお、日本語版は現在作成中です。日本語版業界別フィッシングベンチマーキング調査レポートをご入り用な方は、KnowBe4 Japan合同会社までメール( info@knowbe4.jp )または 直接 03-4588-6733 まで電話にてご連絡ください。
<KnowBe4について>
KnowBe4 (NASDAQ:KNBE) は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年5月現在、5万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
2021年のランサムウェア攻撃の1件あたりの被害額は平均で58万ドル、なんと日本円に換算すると約7千万円に達しています。また、2020年のビジネスメール詐欺(BEC)の被害額は18億ドルを超えています。このように、サイバー攻撃は世界の組織に大きな打撃を与えます。サイバー攻撃脅威の実態動向を「IBM Security X-Force Threat Intelligence Index 2022(IBM X-Force 脅威インテリジェンス・ インデックス 2022)」から見てみると、攻撃の26%はアジアを標的とし、アジア太平洋は2021年に最も攻撃された地域でした。アジア太平洋で最も攻撃された国は日本、オーストラリア、インドの3カ国した。 また、米Verizon社の(Verizon 2022 Data Breach Investigations Report(2022年度版Verizonデータ侵害調査報告)」は、今年のデータ侵害の82%は人的要素が関与し、アジア太平洋で発生したサイバー攻撃を見れば、70%にソーシャルエンジニアリング攻撃が含まれていると報じています。
今回のレポートでは、KnowBe4は19の異なる業種における2,340万回以上の模擬フィッシング訓練/フィッシング攻撃テストの結果を集計し、30,173の組織における950万人以上のユーザーのデータセットを分析しています。KnowBe4では、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標「PPP(Phishing Prone™ Percentage:フィッシング詐偽ヒット率)」を集計しています。これによって、どれくらいの従業員が誤って摸擬フィッシングメールのリンクをクリックした、または感染した添付ファイルを開いたかを可視化しています。
2021年を通して、世界中でフィッシング攻撃が前年比で大幅に増加し続けました。この中、2022年度版業界別フィッシングベンチマーキングレポートで明らかになったことは、セキュリティ教育を受けていない従業員の約3人に1人がフィッシングリンクをクリックしてしまうという実態です。
本ベンチマーキング調査では、ベースラインベンチマーキングにおいて、KnowBe4のトレーニング開始前に、これまでにセキュリティ意識向上トレーニングを実施したことがない企業や組織に対して現状把握を行っています。このベースラインベンチマーキング集計結果によると、トレーニング前の全業種および全組織規模の平均PPPは32.4%で、従業員の約3人に1人がフィッシング攻撃の罠に嵌る可能性があると指摘しています。この数値は、セキュリティトレーニングを実施しない場合、規模や業種に関係なく、すべての企業や組織がフィッシング攻撃やソーシャルエンジニアリング攻撃に対して、昨年同様に、極めて脆弱であることを警告しています。また、個別の全世界平均値を見ると、大規模組織は改善されているが、その一方で、ベースラインのPPPが50%を超える業種(電気・水道・ガスなどの公共インフラ、保険、コンサルティング)があります。
ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、驚くべき改善が見られました。90日間のKnowBe4のトレーニングとフィッシング演習の結果、全世界の平均PPPスコアは、32.4%%から17.6%へとほぼ半減しています。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5%までに減少しています。これは、KnowBe4のトレーニングとフィッシング演習が新しい行動習慣を常態化し、より強固なセキュリティカルチャーを醸成していることを示す注目すべき成果です。
次に、日本を含むアジア太平洋地域の集計結果を見ると、全世界平均よりもわずかに高いリスクが示され、アジア太平洋での全業種/全組織規模での平均では、全世界平均の32.4%よりも2.1ポイント高い、34.5%でした。セキュリティ教育を受けていない従業員が不審なリンクをクリックしたり、不正な要求に応じたりするサイバー攻撃の脅威が、アジア太平洋は全世界平均よりも高いことが示されています。特に、アジア太平洋の大規模組織(従業員数1000人以上)では、このPPPスコアは36.7%となり、世界平均(35.2%)より1.5ポイント高い分析結果を示しています。
アジア太平洋のトレーニング90日後のPPPスコアを見てみると、小規模組織および中規模組織では、それぞれ、21.1%および19.2% と改善されていますが、全世界平均(17.6%)と比べると、改善幅は小さくなっています。次に、トレーニング開始1年後のPPPスコアを見てみると、小規模組織では全世界平均の5%を上回り、4.4%に大幅に改善されているものの、中規模組織および大規模組織では全世界平均の改善幅を下回り、それぞれ6.2%および5.2%となっています。全組織規模平均では、5.4%と、全世界平均の5%よりも微妙に改善幅が少ないものの、アジア太平洋地域でも大幅な改善が見られています。
KnowBe4のCEOであるStu Sjouwerman(ストゥ・シャワーマン)は、本ベンチマーキング調査結果について、次のようにコメントしています。
「今回の業界別の調査結果を見ると、人命や人の生活に大きな影響を持つ業界である電気・水道・ガスなどの公共インフラや医療機関や金融機関がサイバー攻撃のリスクに最も晒されている業界として挙げています。サイバー攻撃の被害が甚大であることを考えると、このことは深く憂慮されます。情報漏えいの多くがソーシャルエンジニアリングに起因していることを考えると、人的要素の防御を排除することはできません。摸擬フィッシング演習を含む継続的なセキュリティ意識向上トレーニングを実施することは、サイバー攻撃から組織を守り、より安全な組織を築くことにつながります。」
本レポートから注視すべきことは、ソーシャルエンジニアリング攻撃に対抗するためには、テクノロジーが重要な役割を果たすことを疑う余地はないが、サイバー攻撃の人的要因を無視することができないという事実です。
詳細につきましては、KnowBe4の業界別フィッシングベンチマーキング調査レポート(英語版)を下記のリンクからダウンロードしてください。
https://info.knowbe4.com/phishing-by-industry-benchmarking-report-uki
なお、日本語版は現在作成中です。日本語版業界別フィッシングベンチマーキング調査レポートをご入り用な方は、KnowBe4 Japan合同会社までメール( info@knowbe4.jp )または 直接 03-4588-6733 まで電話にてご連絡ください。
<KnowBe4について>
KnowBe4 (NASDAQ:KNBE) は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年5月現在、5万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像