日本企業はソーシャルエンジニアリング攻撃への意識が低い 実態調査で判明：セキュリティニュースアラート

KnowBe4 Japanは日本やオーストラリア、シンガポールのIT意思決定者を対象にした実態調査の結果を発表し、日本がソーシャルエンジニアリング攻撃に対するセキュリティ意識向上の取り組みに消極的であることを明らかにした。

[後藤大地，有限会社オングス]

　KnowBe4 Japanは2024年3月27日、日本をはじめオーストラリアやシンガポールの企業・団体のIT意思決定者を対象に実施した実態調査結果を発表した。

約8割の企業が不審な電子メールを通報していない　実態調査で判明

　日本における調査は2024年1月5〜10日の期間に、日本企業・団体におけるIT意思決定者214人にアンケートの形式で実施した。調査結果から日本はオーストラリアやシンガポールに比べるとソーシャルエンジニアリング攻撃に対するセキュリティ意識向上の取り組みに消極的であることが明らかになった。

　実態調査の主な注目点は以下の通りだ。

• 51％のシンガポールのIT意思決定者は「フィッシングをリスクと認識して懸念している」と回答した。日本は29％だった
• 「疑わしい電子メールをIT部門に正しく通報している」と回答した割合は日本が21％、オーストラリアが34％、シンガポールが40％だった
• 「サイバー攻撃から組織を守る責任は誰にあるのか」という問いに対し、「従業員が攻撃や詐欺メールを見極められる」と回答した割合は日本が21％、オーストラリアが39％、シンガポールが38％だった。「責任は全員にある」と回答した割合は日本が49％、オーストラリアが50％、シンガポールが40％だった。「責任はIT部門にある」と回答した割合は、シンガポールが42％で日本およびオーストラリアの倍以上だった。「責任はテクノロジーにある」と回答した割合は、日本が14％、オーストラリアが27％、シンガポールが24％だった
• 46％の日本のIT意思決定者は「サイバーリスクとオンラインでの安全な生活の仕方について、全ての国民にもっと教育と認識を与えるべきだ」と回答した
• 日本のIT意思決定者で「サイバー攻撃被害やデータ漏えいの情報の政府への共有に対する自社の役割を理解している」と回答した人の割合は16％だった
• 日本は「サイバー攻撃から組織を守るために最も有益な方法」としてネットワークセキュリティを挙げた回答者が最も多く24％で、次がパッチの適用と更新で14％、セキュリティ意識向上が3番目で12％だった
• 日本は84％が「データ侵害に関する情報やベストプラクティスを自組織、企業、法執行機関、政府間で共有することが自組織にとって有益である」と考えている。しかし、コンプライアンス順守や集合知による防御が有益であると考えている割合は20％に達していない

　KnowBe4 Japanでマーケティング全般を統括するマーケティングマネージャーを務める広瀬 努氏は次のように述べている。

　「生成AIの進化・進展によって人の心理を操作するサイバー脅威であるソーシャルエンジニアリングの巧妙化が急速に進んでいる。ディープフェイクを利用した“なりすまし”やディスインフォメーションはますます流行することが予測される。ソーシャルエンジニアリングによるセキュリティ侵害を防ぐためには適切な教育と訓練によってセキュリティ意識を高める必要がある」

　KnowBe4 Japanは調査を受けて「日本はこれまでソーシャルエンジニアリング攻撃に対して言語の壁により守られていたが、生成AIによって言語の壁による保護効果は下がっている。ソーシャルエンジニアリング攻撃に対するセキュリティ意識を改善すべき時期が到来した」とコメントした。