95％の従業員は、サイバー攻撃からの復旧方法を“理解していない”：Cybersecurity Dive

企業は従業員のサイバーレジリエンス能力を高めるためにプログラムを提供しているが、その多くが適切な成果を挙げていないようだ。

[David Jones，Cybersecurity Dive]

　Immersive LabsがOsterman Researchに委託して実施した調査の報告書によると（注1）、従業員のサイバーレジリエンスを高めることを目的とした企業のプログラムは、その目標に達していないとされており、サイバーセキュリティリーダーの半数以上が「従業員がサイバー攻撃に対して準備できていない」と回答している。

　報告書によると、3分の2の企業では従業員の95％がサイバー攻撃後の復旧方法を理解していないと懸念している。復旧時の優先すべきタスクとしては、中核となるITシステムなしでの業務運用や重要なタスクを完了させるために手作業への切り替えなどが含まれるだろう。

従業員へのセキュリティ訓練不足は、サイバー保険にも影響を及ぼす

　Immersive Labsのサイバー担当副社長であるマックス・ベッター氏は「リーダーが持つチームの準備状況に対する自信と実際のサイバーレジリエンス能力との間には残念なほどの乖離（かいり）がある。これは従来のトレーニングが参加者の出席状況を評価しており、実際の能力を評価していないためだ」と話す。

　政府当局や保険会社は、顧客データを管理する方法や重要なガバナンスの問題を企業がどのように取り扱っているかについて、ますます企業に説明責任を負わせる傾向にある。彼らはサイバー問題の意識に関するトレーニングやサイバーハイジーン（衛生管理）、インシデント対応、データセキュリティに対する取締役会の監督など、さまざまな実践を検証している。

　保険会社は企業がセキュリティプログラムをどれだけ効果的に運営しているかに基づいて保険料と保険適格基準を調整している。しかし、今回の報告書は、企業が訓練を頻繁に提供していないことを示しており、業界認証の実際の価値について疑問を投げかけている。

　また報告書によると、企業は説明責任を果たすために取締役会の関与を強める必要があるが、多くの場合その監視が十分でないことが分かっている。

　Osterman Researchの調査は1000人以上の従業員を擁する企業における、米国や英国、ドイツの570人のシニアレベルのセキュリティおよびリスクリーダーを対象に実施された。

（注1）New Osterman Research Report Finds Cyber Resilience Programs are Falling Short, With More Than Half of Security Leaders Revealing Their Workforce Is Not Prepared for A Cyberattack（Immersive Labs）

原文へのリンク