Proofpoint によるCISOへの調査記事が目に止まりました。
この記事では、人為的なミスがサイバーセキュリティの最大の弱点であると述べられており、CISOの74%が最も重大な脆弱性であると認識しているようです。特に不注意な従業員が今後 2 年間のサイバーセキュリティ上の主要な懸念事項であると考えてられています。
以前の記事でも取り上げましたが、ソーシャルエンジニアリングなどの攻撃は全体の攻撃の1%未満ですが、侵害された事例の約90%でソーシャルエンジニアリングが使用されています。
侵害を進めるにあたって、「人の脆弱性」は攻撃者にとって格好の攻撃経路であることがわかります。
組織の全員がセキュリティを自分ごととして捉え、正しく警戒していくことが今後求められるのではないでしょうか。
セキュリティ教育に関しては、「レディネス(教育の前提となる知識や経験)を意識する」という記事が参考になりました。
ほとんどのセキュリティ教育では、定期的なe-ラーニングや役職者に対してセキュリティ教育を実施するというのが現状だと思います。
それだと、レディネスを意識できていないため、e-ラーニングによってレディネス毎に最適なセキュリティ教育を実施していくというのが効果的なのかもしれません。
また、この記事ではビジネス部門にセキュリティのリーダーがいる組織はセキュリティ教育が上手くいっていると言及されています。
セキュリティとビジネス部門は、衝突しがちなので間の緩衝剤ができるビジネス部門のセキュリティリーダーがいる組織はセキュリティ教育が上手くいくというのも納得できる内容です。
