米国のサイバーセキュリティ啓発月間が20周年 本当に効果があったのかを検証：セキュリティニュースアラート

アクロニス・ジャパンは、米国のサイバーセキュリティ啓発月間に関する記事を公開した。この取り組みは20周年を迎えたが、引き続き多くの課題が報告されている。果たしてこの取り組みは有効だったのだろうか。

[後藤大地，有限会社オングス]

　アクロニス・ジャパンは2024年10月1日、米国のサイバーセキュリティ啓発月間に関する記事を公開した。米国で始まったこの取り組みは2024年で20周年を迎え、サイバーセキュリティの重要性を広く周知させる機会となっている。記事ではこの啓発活動が実際に効果を上げているのかどうかが報告されている。

20年にわたるセキュリティ啓発月間は効果があったのか？　調査から見えた傾向

　Pew Researchの調査によると、2023年には米国人の87％が4つのパスワードの中から最もセキュアなパスワードを特定できるようになり、3分の2のユーザーがクッキーの存在理由を理解していることが判明している。また二要素認証を知っているユーザーも大幅に増加しており、2020年代初頭の啓発活動が一定の効果を上げたことが示されている。さらに人的要素が関与するデータ侵害の割合も減少しており、2022年には82％だったものが、2024年には68％に低下していることがVerizonの「2024 Data Breach Investigations Report」 の調査から明らかにされている。

　一方で依然として残る課題が指摘されている。例えば多要素認証（MFA）が効果的であるにもかかわらず、多くの企業で導入されていないことが問題視されている。2022年のCyber Readiness Instituteの調査ではマネージドサービスプロバイダー（MSP）の54％がMFAを未導入という結果が報告されている。ただしこのデータは古いため、数年経過した現在では改善されている可能性がある。

　パスワード管理に関するユーザーの不適切な行動も指摘されている。Security.orgによると約5人に1人が全てのアカウントで同じパスワードを使用しており、約30％がパスワードマネジャーのマスターパスワードを他のアカウントでも使用しているという調査結果が報告されている。さらに25％のユーザーが未保護のメモにパスワードを保存しているとされ、その割合は2022〜2023年にかけて変わっていないことが報告されている。

　サイバーセキュリティトレーニングとその実践に関しても問題があるとされ、特に若い世代が問題視されている。National Cybersecurity Allianceの調査によると、セキュリティトレーニングを受けている若年層のユーザーであっても、オンラインで不適切な行動を取る傾向が見られるという。Z世代やミレニアル世代はサイバーセキュリティトレーニングを受けているにもかかわらず、セキュリティ対策を軽視する傾向があり、サイバー犯罪の被害者になる割合が高い。優れた方法を知っているはずの若いユーザーの多くがサイバーセキュリティでの良い慣習を守ろうとしないことも指摘されている。

　アクロニス・ジャパンはこのような状況を改善するためには単なるトレーニングだけでは不十分としている。企業はサイバーセキュリティの文化を構築する必要があり、従業員に対してサイバー攻撃が業務に及ぼす影響やリスクを具体的に伝えることが重要とされている。また日常的なミーティングや会話の中でセキュリティに関する話題を取り上げ、意識を高めることが推奨されている。

　企業リーダーやIT管理者が模範を示し、パスワード管理や疑わしい電子メールへの対処方法を率先して実践することで従業員全体のセキュリティ意識を向上させることができると説明している。サイバーセキュリティの重要性をチーム全体で共有することで共に取り組む姿勢が形成されるとしている

　サイバーセキュリティ啓発月間の成果は部分的に見れば成功しているが、課題も依然として残っている。企業は単なるトレーニングの実施にとどまらずサイバーセキュリティの文化を醸成させ、テクノロジーと教育の両面から防御を強化することが求められている。