「企業の重役」こそセキュリティ対策が不十分? 経営幹部を狙うサイバー攻撃を防ぐ5つの対策法 ESET:フィッシング詐欺の標的となった重役は47%
企業内で大きな権限を持つ経営幹部は、セキュリティ攻撃者の標的となることも多い。ESETは、経営幹部にセキュリティ対策の重要性や取り組みを強化してもらうための5つの対策法を解説した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ESETは2023年11月30日(米国時間)、サイバーセキュリティへ取り組むよう指示を出している企業の経営幹部もセキュリティ対策が不十分だという調査結果を紹介し、経営陣のセキュリティ対策強化につながる5つの取り組みを紹介した。
企業の経営幹部は機密情報へのアクセスや多額の送金を承認する権限を持っているため、サイバー攻撃者にとって格好の標的でもある。そのため、経営幹部が適切なセキュリティ対策を実践できなければ、企業文化の面でも、金銭的にも社会評価の上でも大きなダメージを受けることになりかねない。
経営幹部の行動と取り組みにはギャップがある
ESETは、Ivantiが公開したセキュリティレポートに着目して調査結果を紹介した。同調査は、ヨーロッパ、米国、中国、日本、オーストラリアの6500人以上の経営幹部、サイバーセキュリティ専門家、従業員へのインタビューから作成されている。
同調査結果によると、ビジネスリーダーの発言と実際の行動の間に、以下のような大きな乖離(かいり)があったという。
- ほぼ全員(96%)が「組織のサイバーセキュリティ義務を支持している、またはそれに投資している」と主張
- 78%が組織が強制的なセキュリティトレーニングを提供していると回答
- 88%が「マルウェアやフィッシングなどの脅威を認識して報告する準備ができている」と回答
- 過去1年間に1回以上、セキュリティ対策を回避するよう要求したことがある(49%)
- 覚えやすいパスワードを使用する(77%)
- フィッシングリンクをクリックした(35%)
- 仕事用アプリケーションにはデフォルトのパスワードを使用する(24%)
デフォルトのパスワードを使用していると答えた従業員は、わずか14%だったのに対し、経営幹部は24%に上った。経営幹部は権限のないユーザーと仕事用デバイスを共有する可能性が、一般の従業員より3倍高いという。また経営幹部は、ITセキュリティに対して問題やエラーを報告することを「気まずい」と表現する可能性が2倍高く、フィッシングのリンクをクリックするなどのエラーを報告することに「不安を感じる」と回答する可能性も33%高かった。
また、過去1年間に既知のフィッシング攻撃の標的となった従業員が33%だったのに対し、幹部は47%に上った。また、悪意のあるリンクをクリックしたり送金したりした従業員は8%だったのに対し、幹部は35%だった。
経営幹部のセキュリティ対策を強化する5つの方法
ESETは、アクセス権を持つ経営幹部も従業員と同様に、セキュリティリスクとベストプラクティスに関する教育やトレーニングを受講することが重要だとし、以下の方法を推奨した。
1.過去1年間の経営幹部の活動の内部監査を実施する
経営幹部の行動ギャップがどれくらい大きいかを理解するために、インターネット活動、フィッシングのクリックなどの潜在的なリスク行動、セキュリティやIT管理者とのやりとりなどを調査する。過度なリスクテイキングや意思疎通の問題など、注目すべきパターンがあるかどうか確認し、得られた教訓を考察する。
2.手を付けやすいところから始める
修正が容易な、悪しきセキュリティ慣行に対処する。全員に二要素認証(2FA)を義務付けるアクセスポリシーの更新、特定の経営幹部が特定の資料にアクセスできないようにするデータ分類および保護ポリシーの確立などが挙げられる。
3.セキュリティ上の不正行為とビジネス上のリスクを結び付ける
経営幹部がセキュリティの悪しき慣行とビジネスリスクを関連付けて考えられるように援助する。現実のシナリオに基づく、ゲーミフィケーション手法を活用したトレーニングセッションを実施して、経営幹部がセキュリティの悪しき慣行がもたらす影響を理解するように手助けする。
4.シニアリーダーシップとの相互信頼の構築
ITおよびセキュリティリーダーをコンフォートゾーンから引き出すために、誠実で友好的なサポートが必要だ。ミスから学ぶことに焦点を置き、個人を指摘するのではなく、継続的な改善と学習のフレームワーク内で理解を深められるようにする。
5.経営幹部向けの懇切丁寧なサイバーセキュリティプログラムを検討
経営幹部向けに特別に設計されたトレーニングおよびオン/オフボードプロセスを考慮する。その目標は信頼とベストプラクティスを構築し、セキュリティインシデントの報告への障壁を減少させることだ。
ESETは「これらの手順は企業文化の変化が必要であり、時間もかかる。しかし、誠実に経営幹部に相対し、適切なプロセスと管理を導入し、不十分なサイバーハイジーンがもたらす結果を教えれば、成功するチャンスは大きく広がる」と述べている。
関連記事
44%のCEOは「サイバー攻撃は単発的な介入で対処可能」と思い込んでいる アクセンチュア
Accentureは、調査レポート「サイバーレジリエントCEO」を発表した。それによるとCEOの44%が、サイバーセキュリティに対して「継続的な監視ではなく単発的な介入で対処できる」と考えていた。
インシデントハンドラーやフォレンジッカー、サイバー防衛隊は何をする人か ラックが「サイバーセキュリティの仕事解説」を公開
ラックは、『サイバーセキュリティ仕事ファイル〜みんなが知らない仕事のいろいろ〜』の合本版を公開した。サイバーセキュリティ分野の仕事に対する認知と興味や関心を高められるという。
2025年までにサイバーセキュリティリーダーの約半数が転職、主要因はストレス Gartnerが予測
Gartnerは2025年までにサイバーセキュリティリーダーの約半数が転職し、25%が仕事に関連する複数のストレス要因から完全に異なる職務に就くという予測を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。