強力なセキュリティ文化を作るには何が必要なのか？ KnowBe4が調査レポート：セキュリティニュースアラート

KnowBe4 Japanは2024年度版セキュリティ文化レポート「2024 Security Culture Report」を公開した。セキュリティ文化の形成に苦労している組織の実態やセキュリティ文化スコアが高い業界などが明らかになっている。

[後藤大地，有限会社オングス]

　KnowBe4 Japanは2024年4月5日、2024年度版セキュリティ文化レポート「2024 Security Culture Report」を公開した。同レポートは人的要素に関連するサイバーセキュリティ対策が組織や職場における従業員の行動や感情にどのような影響を与えるかを検証している。

強力なセキュリティ文化を形成するには何が必要か？

　KnowBe4 Japanはセキュリティ文化の現状について世界全体の18業種、112カ国を対象に毎年調査報告書を公開している。同社は「セキュリティ文化」を「組織のセキュリティに影響を与え人的なリスクを低減する考え方や習慣、社会的行動とそれを形成する振る舞いの全体」と定義している。

　同社は2024年度版レポートで、世界全体のセキュリティ文化スコアを前年と同じ「低・中程度」のレベルと伝えた。この中でもセキュリティ文化スコアが高い業界はどこなのか。

　調査レポートによると、全世界の組織において、「従業員のセキュリティ意識がサイバー攻撃への防御手段として重要である」と認識されつつあるという。この他、「強力なセキュリティ文化を形成するためにはトップダウンアプローチと強いリーダーシップが必要である」という考えも広まっている。特に北米の組織ではセキュリティ文化の重要性に対する認識が高まっている。

　今回のレポートでは、大規模な組織と比較して中小規模の組織の方が従業員一人一人がセキュリティにより責任を感じ、セキュリティ文化の浸透がうまくいっていることが分かった。大規模な組織では組織全体に文化を浸透させることに苦戦している様子がうかがえるという。

　業界別で見ると保険や金融サービス、銀行業界が米国におけるセキュリティ文化のトップをけん引していた。これらの業界は常にサイバー攻撃の主要な標的であり、セキュリティ意識が高く優れたセキュリティ文化の形成につながっている。

　逆に政府機関や製造業、教育機関は長期にわたってサイバー攻撃の主な標的であったにもかかわらず適切な基準を維持するのに苦労し、北米ではセキュリティ文化スコアが前年と比較してわずかに低下している。KnowBe4 Japanは「これらのセクターにおける人的リソース不足がサイバー脅威に効果的に対抗する能力を制限している」と分析している。

　KnowBe4 Japanの広瀬 努氏（マーケティングマネージャー）は「生成AIの普及によってソーシャルエンジニアリングはますます巧妙化し、セキュリティシステムの検出レイヤーの外側でサイバー攻撃や犯罪が発生しています。インシデントの抑制にはテクノロジーだけでは不十分であり、組織の一人一人に高いセキュリティ意識と当事者意識を持たせる取り組みは今後不可欠と言えるでしょう」と述べた。