KnowBe4、2024年度フィッシングベンチマーキングレポートをリリース – 業種、企業規模別の騙されやすさの統計

東京（2024年6月13日発） - セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4（本社：米国フロリダ州タンパベイ、創立者兼CEO：Stu Sjouwerman （ストゥ・シャワーマン））は、2024年度版の業界別フィッシングベンチマーキング調査レポートをリリースしたことを発表しました。このレポートでは、フィッシング詐欺やソーシャルエンジニアリング詐欺に引っかかる可能性のある従業員の割合を示すPhish-prone™ Percentage（以下PPP：フィッシング詐偽ヒット率）を業界別のベンチマーキングとして統計分析しています。 

本レポートで集計したベースラインテスティング（トレーニング開始前の実態調査）データによると、すべての業種において、34.3%の従業員が疑わしいリンクをクリックしたり、不正な要求に応じたりする可能性があるという分析結果が示されています。これは、2023年のレポートと比較して1％以上の増加であり、巧妙化し続けるサイバー脅威から組織を守るためには人的リスクを軽減し、組織内で強固なセキュリティ文化を構築することの重要性を浮き彫りにしています。

今回のベンチマーキングでは、KnowBe4は、19業種、55,675組織の1,190万人以上のユーザーを対象に、5,400万回を超えるフィッシング模擬テストを分析しました。ベースラインPPPでは、KnowBe4セキュリティトレーニングを実施していない組織の従業員が、フィッシングテストでフィッシングメールのリンクをクリックしたり、感染した添付ファイルを開いたりした割合を基本データとして測定しています。

本レポートは、フィッシングセキュリティテストのシミュレーションをセキュリティ意識向上トレーニングと連動して実施することが驚くべき効果を生み出しているという重要な注目ポイントを明確に実証しています。ベースラインテスティング後にフィッシングテストと継続的なトレーニングを実施することで、この平均PPPスコアは90日で34.3%から18.9%へ改善されています。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、4.6%までに減少しています。この分析結果は、セキュリティ文化を醸成するには、まず既存の習慣を打破し、より安全なものに変えていく必要があることを明確に示しています。従業員が新しい行動を受け入れ始め、それが習慣となり、やがて慣行へと進化し、ひいては日々の業務においてセキュリティを本能的に優先する従業員を生み出す組織的な文化につながります。

また、本レポートでは、サイバー脅威に特に脆弱で、PPPが最も高く、セキュリティ意識向上トレーニングが切実に必要な業界についても、業界別の分析で取り上げています。医療・介護および製薬業界（Healthcare & Pharmaceutical）は依然として高リスクのカテゴリーにあり、小規模および大規模組織におけるPPPはそれぞれ34.7%、51.4%と最も高くなっています。中規模組織では、ホテル・観光業（Hospitality）が39.7%で、最も脆弱で、3年ぶり2度目の最も高いスコアとなっています。

本レポートは、サイバーセキュリティにおいて人的要素が果たす重要な役割を強調しています。サイバー攻撃の防止と復旧にテクノロジーは重要ですが、データ侵害の大きな要因となっているのは依然として人為的ミス「ヒューマンエラー」です。実際に、ベライゾンの2024年度データ漏洩/侵害調査報告書（DBIR）によると、データ侵害の68%は、偶発的な操作、盗まれた認証情報の使用、ソーシャルエンジニアリング、悪意のある権限の悪用などの人的要素によると報告しています。この調査結果は、昨年の74％から改善されたとはいえ、組織がサイバー脅威から身を守るため、サイバー攻撃に対する最後の防御ラインとしてのヒューマンファイアウォールの強化に引き続き注力する必要があることを示唆しています。 

今年度のレポートでは、特定の業界におけるAIの急速な導入が取り上げられています。これは、強力なサイバーセキュリティ対策を講じない場合には、新たなセキュリティリスクを生み出すと警告しています。 

KnowBe4のCEOであるストゥ・シャワーマンは、2024年度フィッシングベンチマーキングレポートについて次のようにコメントしています。
「データは嘘をつきません。定期的かつ集中的なセキュリティトレーニングは、従業員が潜在的な脅威にどのように対処するかを変えます。私たちの目標は、従業員が本能的にセキュリティを第一に考えるように教育し、行動変容を引き起こすことです。さらに、AIの利用はより巧妙なサイバー脅威を出現させ、今、セキュリティ意識向上トレーニは必須の要件となってきています。」 

業界別に加えて、今年のレポートでは、地域別には、北米、南米、ヨーロッパ、イギリス＆アイルランド、アフリカ、日本を含むアジア、オーストラリア＆ニュージーランドのフィッシングベンチマーク結果を分析しています。

詳細につきましては、KnowBe4の業界別フィッシングベンチマーキング調査レポート（英語版）を ここからダウンロードしてください。 

本業界別フィッシングベンチマーキング調査レポートの日本語版は現在作成中で、近日リースされる予定です。

＜KnowBe4について＞

KnowBe4は、セキュリティカルチャー（文化）と人的防御層（ヒューマンディフェンス・レイヤー）の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。2023年9月現在、6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。

＊セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング／ランディングページ演習テンプレート（27,000種以上）に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ（393種のインタラクティブトレーニングモジュール、545種の動画トレーニングモジュール、1523種のセキュリティ教育／トレーニングコンテンツ）を提供しています（自社調べ、2024年5月末現在）。