エンドユーザはセキュリティ意識トレーニングから取り残されている
2020年9月28日、Mike Vizard
「百の治療より一の予防」ということわざがあります。このことわざはセキュリティに最も当てはまります。エンドユーザがトレーニングを受ければ受けるほど、フィッシング攻撃を受ける可能性は低くなります。問題は、エンドユーザが受けるセキュリティ意識トレーニングのほとんどが特に魅力的ではないため、その多くがまったく心に残らないことです。
Osterman Researchが、セキュリティ意識トレーニングプログラムを管理し、プログラムに貢献または影響する141人の個人、および米国内の1,000人以上の従業員を対象に実施した2つの調査によると、企業が直面している問題は深刻です。
トレーニング資料の品質に満足している回答者は、わずか半数であり、トレーニング形式に満足している回答者は、さらに少数(48%)です。また、トレーニングに視覚的な魅力があると考えている回答者は45%です。従業員がトレーニングについてどのように考えているかを定期的に調査している回答者は、わずか23%です。回答者の半数以上(52%)は、このような調査をときどき行っています。
オフィスと自宅でセキュリティを維持するために役立つという理由でセキュリティ意識トレーニングに満足している従業員が、わずか12%であることは、当然と思われます。幸いにも、従業員の50%は、利点を理解しているため、セキュリティ意識トレーニングに満足しています。義務付けられているという理由でセキュリティ意識トレーニングに参加している従業員は、わずか14%です。
従業員が常に魅力を感じるセキュリティ意識トレーニング
上記の調査によると、セキュリティ意識トレーニングの魅力と従業員の参加時間の間には明確な相関関係があります。トレーニングが非常に興味深いと考えているユーザの69%は1か月に15分以上をトレーニングに費やしています。一方、トレーニングが多少は興味深いと考えており、同じ時間をトレーニングに費やしているユーザは、わずか37%です。また、トレーニングが退屈であると考えており、同じ時間をトレーニングに費やしているユーザは、わずか16%です。
企業が直面しているセキュリティ攻撃の性質を考慮すると、15分は長い時間ではありません。実際、教育という視点から見ると、多くの従業員がセキュリティ意識トレーニングから取り残されています。もちろん、「学生」が学習したくない場合が「教師」の責任とはかぎりません。しかし、トレーニングの方法が魅力的ではなかったため、誰もが退屈なトレーニングを最後まで受けた経験があるでしょう。誰もトピックを記憶していません。誰もが退屈を感じたことしか記憶していません。
一方、セキュリティ意識トレーニングに魅力を感じている従業員は正しいことをする傾向が強いです。上記の調査によると、1か月に15分以上をトレーニングに費やしているエンドユーザは、1か月にわずか5分しかトレーニングに費やしていないエンドユーザと比較して、デバイスおよびアプリケーションごとに一意のパスワードを使用する傾向が約2倍です。
セキュリティの問題の増加
コロナウィルス(COVID-19)パンデミックの結果、企業は、かつてないほどフィッシングを懸念しています。従業員のほとんどが当面は在宅勤務しているため、企業のセキュリティレベルは低下しています。マネージャを対象に実施した調査によると、最大の懸念はマルウェアを含む添付ファイル、フィッシング、ランサムウェアなどのメール攻撃、および認証情報の盗み出し/ATO(アカウント乗っ取り)であり、この割合は、ほぼ均等です。
上記のいずれの場合も、最初の「セキュリティレイヤ」は常にエンドユーザです。しかし、エンドユーザは、セキュリティ意識トレーニングに魅力を感じていない場合、努力する理由をよく理解していません。このようなエンドユーザにこれまで以上に警戒するように依頼しても、ほぼ無意味です。「教師」より魅力を感じている「学生」は、まれです。実際、そもそも、エンドユーザが努力する必要はないため、セキュリティ部門の熱意がわずかでも向上すると、何倍もの効果が生じます。
原文はこちら:
End-users being left behind on security training
September 28, 2020 Mike Vizard
https://blog.barracuda.com/2020/09/28/end-users-being-left-behind-on-security-training/
No comments yet.