KnowBe4、組織のセキュリティ文化水準の調査結果、2024年度版セキュリティカルチャーレポートを公開

米国フロリダ州タンパベイ（2024年3月26日発）／東京（2024年4月5日発） - セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダー*であるKnowBe4（本社：米国フロリダ州タンパベイ、創立者兼CEO：Stu Sjouwerman （ストゥ・シャワーマン））は、2024年度版セキュリティカルチャーレポート（英文）を公開しました。

この報告書では、人的要素に関連するサイバーセキュリティ対策が、組織や職場における従業員の行動や感情にどのような影響を与えるかを検証しています。 

KnowBe4では、「セキュリティ文化」とは、組織のセキュリティに影響を与え、人的なリスクを低減する考え方、習慣、社会的行動とそれを形成する振る舞いの全体と定義しています。セキュリティ文化は、総論としては、組織としてのセキュリティに対するマインドセット（集団的な考え方）、慣行、規範と理解されています。KnowBe4では。セキュリティ文化の現状について、世界全体の18業種、6大陸、112カ国を対象に調査した毎年報告書を公開しています。

KnowBe4の2024年度版レポートでは、世界全体のセキュリティカルチャースコアは前年と変わらず、「低・中程度」のレベルにあることが明らかにしています。同時に、世界中の組織で、従業員のセキュリティ意識はサイバー攻撃への防御手段として重要であり、強力なセキュリティ文化を形成するためにはトップダウンアプローチと強いリーダーシップが必要であると認識されつつあります。北米の組織ではセキュリティ文化の重要性に対する認識が高まってきています。また、今年度の報告書では、大規模組織に比べて、中小規模組織の方が、従業員一人ひとりがセキュリティに対してより責任を感じて、総じてセキュリティ文化の浸透が上手くいっていることがわかりました。大規模組織ではその規模の大きさゆえに組織全体に浸透させることに苦戦しているようです。 

業界別に見てみると、2024年版のレポートでは、保険、金融サービス、銀行業界が、米国におけるセキュリティ文化のトップ・パフォーマーです。これらの業界は、昔から常にサイバー攻撃の主要な標的であったため、セキュリティ意識が高く、良いセキュリティ文化の形成に繋がっているとKnowBe4では考えています。しかし、政府機関、製造業、教育機関も長らく、サイバー攻撃の主な標的であったにもかかわらず、適切な基準を維持するのに苦労しており、北米ではセキュリティカルチャースコアが前年と比較してわずかに低下しています。この主な要因は、これらのセクターにおける人的リソース不足が、サイバー脅威に効果的に対抗する能力を制限していることであるとKnowBe4は分析しています。 

KnowBe4のCEOであるストゥ・シャワーマンは、本年度のレポートをリリースするにあたって、次のように述べています。
「成果を出している組織において、セキュリティ文化が果たす重要な役割に対する理解が深まっていることは心強いことです。しかし、これは継続的なプロセスであり、強固なセキュリティ文化の形成と維持は。今や特別のことではなく、業務を遂行する上で必須要件となってきています。すべての業界、特にサイバー犯罪者に狙われている業界にとっては、セキュリティ文化を優先し、特に人の意識の低さによるリスクの低減に適切な投資を行うことが極めて重要です。」

また、本報告書では、大きな注目を集めているAIについても取り上げています。AIは、サイバー攻撃者によって利用され、ソーシャルエンジニアリングを巧妙化させています。しかしながら、サイバー攻撃の基本的な構造は変わっていないとKnowBe4は考えています。生成AIが、ディープフェイクや翻訳レベルの飛躍的向上などに利用されたとしても、「人」の心理を操るソーシャルエンジニアリングという手口の本質は不変だからです。言い換えれば、いかに巧妙化しようとも、ソーシャルエンジニアリングに注意することは不変であり、生成AIを駆使するサイバー攻撃者へ対抗するには、防御側もAIを使って、従業員一人ひとりのセキュリティ意識を高め、ヒューマンファイアウォールという防御手段を強化すること戦略上、不可欠です。

KnowBe4 Japanのマーケティングマネージャーの広瀬努は、セキュリティ文化の現状について次のようにコメントしています。

「近年の深刻なサプライチェーン攻撃の発生を受けて、サプライヤーに対して組織内で発生したインシデントを逐次報告するよう契約時に規定する動きが出てきています。サプライチェーン全体でセキュリティ情報の報告、連絡などのコミュニケーションを強化することはプロアクティブな防衛措置として重要です。また、生成AIの普及によりソーシャルエンジニアリングはますます巧妙化し、セキュリティシステムの検出レイヤーの外側でサイバー攻撃や犯罪が発生しています。インシデントの抑制にはテクノロジーだけでは不十分であり、組織の一人ひとりに高いセキュリティ意識と当事者意識を持たせる取り組みは今後不可欠と言えるでしょう。インターネットで繋がった新たな時代の国際化社会において、社会全体でセキュリティの教育水準と文化レベルを向上させる必要があると考えます。」

2024年度版Security Culture Report（英文）を希望する方は、こちらをクリックしてください。また、KnowBe4では、日本語版2023 Security Culture How-To Guide（セキュリティカルチャー構築・強化ガイド）を公開し、セキュリティカルチャーに関する基本的な考え方や定義について説明し、セキュリティカルチャーの構築と強化に向けて取り組むときの7つの基本的なステップを具体的に提示しています。ご入用の方は、ここをクリックしてください。 

＜KnowBe4について＞

KnowBe4は、セキュリティカルチャー（文化）と人的防御層（ヒューマンディフェンス・レイヤー）の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。2023年9月現在、6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp　をアクセスしてください。

＊セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング／ランディングページ演習テンプレート（25,000種以上）に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ（380種のインタラクティブトレーニングモジュール、548種の動画トレーニングモジュール、1531種のセキュリティ教育／トレーニングコンテンツ）を提供しています（自社調べ、2024年3月末現在）。