キヤノンMJ/サイバーセキュリティ情報局
「セキュリティ疲れ」してない? 症状と対策を解説
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「『セキュリティ疲れ』が現実に。克服するにはどうすべきか?」を再編集したものです。
「セキュリティ疲れ」の影響から社内規定が軽視され、機密情報をぞんざいに扱っている従業員はいないだろうか。手遅れになる前に、その兆候を見極めなければならない。
IT部門は「Noと言う部門」と見なされることも多いが、その理由は明白だ。サイバーリスクが高まるとともに、アタックサーフェス(サイバー攻撃の標的となる対象)は広がり、サイバー犯罪の市場も急拡大する中、セキュリティチームは従業員が引き起こす可能性のあるセキュリティインシデントについて神経質になっているのもうなずける。たった1度の誤ったクリックで、ランサムウェアの不正侵入を許し、甚大な被害を引き起こす可能性があるからだ。ただし、従業員へのプレッシャーが強すぎると、予想しない反応を示し、組織のサイバーセキュリティをかえって危険に晒してしまう場合もある。
この状態は「セキュリティ疲れ」として知られており、最悪の場合、IT部門の期待とは逆に従業員が無謀で衝動的な行動につながる可能性がある。ハイブリッドワークの時代に向けて、セキュリティと生産性のバランスを調整し、ユーザーの負担を減らしてセキュリティ疲れへの対策を講じなければならない。
セキュリティ疲れとは何か? どれほど深刻な問題なのか
企業のセキュリティ対策のうち、従業員は最も脆弱な要素とも言われる。そのため、IT部門は不注意な従業員(それだけにとどまらないが)に起因するセキュリティリスクを軽減するのに躍起になっている。2021年には、従業員に起因するセキュリティインシデントが21件から40件以上発生した企業が67%に達したという試算がある。2020年の60%から上昇しており、修復までに要したコストは平均して1,500万ドル(20億円相当)以上だった。
無数のセキュリティアラートやオフィスにおけるポリシーや申請手続き、情報漏えいや脅威に関するニュースを日々目にしている従業員には、極度の疲労感が生じる可能性がある。セキュリティ疲れは、無力感や制御不能な感覚に陥るのが特徴だ。企業のポリシーによって活動が制限され、思い通りに動けず圧倒された気分になる。もはや諦めの境地に至り、ストレスとなるセキュリティアラートを無視するようになり、結果として情報漏えいを誘発させる恐れがあるのだ。
セキュリティ疲れは思った以上に頻繁に起きている。2018年の調査では、欧州・中東・アフリカの従業員のうち、半数以上(55%)はサイバーセキュリティを普段から意識しておらず、約5分の1(17%)は、まったく気にしていない。過剰なセキュリティのプレッシャーによって、若い世代はより疲労感を覚える傾向にある。
セキュリティ疲れの主な症状
残念なことに、セキュリティ疲れは企業を揺るがす深刻な影響をもたらす場合がある。従業員が見せる、セキュリティ疲れの兆候には、以下のようなものが挙げられる。
・興味本位で、リンクをクリックしたり、添付ファイルを開いたりするなどリスクを伴う行動をとる。
・複数のアカウントで単純なパスワードを使い回すなど、ずさんなパスワード管理を行う。最近の調査では、43%の従業員は、ログインの手間を避けるよう、アカウント情報を共有していることを認めている。
・制限している組織はあるものの、VPN(Virtual Private Network)を使わずに社内ネットワークへ接続してしまう。
・外出時に保護されていない公衆Wi-Fiに接続し、機密性の高い社内アカウントへログインしようとする。
・デバイスやコンピューターの定期的な更新を怠る。EY社が実施した最新の調査では、Z世代(1997~2012年)やY世代(1981~1996年)の従業員は、それより上の世代に比べ、義務付けられている更新をできる限り先延ばしする傾向が極めて高いと指摘されている。
・上長やIT部門に対して、発生したインシデントの迅速な報告を怠る。前述のEY社の調査では、情報漏えいの疑いがある場合に、約5分の1(16%)の従業員は、誰かに報告するよりも自分自身で対処しようと試みると回答している。
・ソフトウェアのダウンロードやゲーム、ネットショッピングといったリスクを伴う行動において、業務用デバイスを個人利用する。今や半数の従業員が、業務用デバイスを個人の資産だと認識しているとの調査がある。
・さまざまな方法を用いてセキュリティを回避しようとする。別の調査によると、18~24歳の会社員の31%が、ポリシーを逸脱した経験を持つことが明らかになっている。
セキュリティ疲れへの対策
2020年に起きたリモートワークへの急速な移行は、多くの企業でその場しのぎの対応を迫られた。IT部門は従業員に新たなポリシーを導入し、セキュリティリスクを軽減する方法を探っていた。コロナ禍の影響でハイブリッド型勤務が求められるようになる今、セキュリティ疲れに陥らないよう配慮しながら、従業員への制限を見直すべきだ。
セキュリティ疲れに対しては、以下の対策を検討してほしい。
・セキュリティがいかに仕事に影響し、生産性を妨げているか理解できるよう、エンドユーザーの声に耳を傾ける。従業員のニーズとサイバーリスクの軽減策のバランスを取りながら、ポリシーの設計を試みる。
・セキュリティに関するユーザーへの負担を軽減する。具体的には、ソフトウェアの自動パッチ適用や遠隔からのセキュリティソフトの導入、ノートパソコンやモバイル機器の管理が含まれる。社内ネットワークが不正侵入された際に脅威を検出できるよう、検知・応答するサービスをバックグラウンドで実行する。
・パスワードマネージャーや生体認証を使った二要素認証、シングルサインオンといった、手間を減らしながらもログインのセキュリティを高める方法を導入する。
・ユーザーに通知するセキュリティに関するメッセージの数を制限する。少ないほど良い。
・セキュリティ研修を楽しく、短い(10~15分)ものにして、普段の行動に反映できるよう現実の状況に即したものやゲーミフィケーションを活用する。
セキュリティ対策が効果的に機能するためには、すべての従業員が組織を安全に保つために重要な役割を果たしている点を理解させ、積極的にその役割を果たしたいと考えるような企業文化を醸成する必要がある。このような文化を築くには時間を要するかもしれない。しかし、セキュリティ疲れの要因を理解し、対策を講じることから始まるものなのだ。
サイバーセキュリティ研修の重要性と効果的な実施方法とは?
「How gamification can boost your cybersecurity training(サイバーセキュリティ研修の効果を高めるゲーミフィケーション)(英語のみ)」
従業員へのフィッシング対策研修とは
「Black Hat USA 2022: Burnout, a significant issue(セキュリティカンファレンス「Black Hat USA 2022」:燃え尽き症候群と、主な問題)(英語のみ)」
[引用・出典元]
Security fatigue is real: Here’s how to overcome it by Phil Muncaster 22 Nov 2022 - 11:30 AM
https://www.welivesecurity.com/2022/11/22/security-fatigue-real-how-overcome-it/