検索
ニュース

「企業の重役」こそセキュリティ対策が不十分? 経営幹部を狙うサイバー攻撃を防ぐ5つの対策法 ESETフィッシング詐欺の標的となった重役は47%

企業内で大きな権限を持つ経営幹部は、セキュリティ攻撃者の標的となることも多い。ESETは、経営幹部にセキュリティ対策の重要性や取り組みを強化してもらうための5つの対策法を解説した。

Share
Tweet
LINE
Hatena

 ESETは2023年11月30日(米国時間)、サイバーセキュリティへ取り組むよう指示を出している企業の経営幹部もセキュリティ対策が不十分だという調査結果を紹介し、経営陣のセキュリティ対策強化につながる5つの取り組みを紹介した。

 企業の経営幹部は機密情報へのアクセスや多額の送金を承認する権限を持っているため、サイバー攻撃者にとって格好の標的でもある。そのため、経営幹部が適切なセキュリティ対策を実践できなければ、企業文化の面でも、金銭的にも社会評価の上でも大きなダメージを受けることになりかねない。

経営幹部の行動と取り組みにはギャップがある

 ESETは、Ivantiが公開したセキュリティレポートに着目して調査結果を紹介した。同調査は、ヨーロッパ、米国、中国、日本、オーストラリアの6500人以上の経営幹部、サイバーセキュリティ専門家、従業員へのインタビューから作成されている。

 同調査結果によると、ビジネスリーダーの発言と実際の行動の間に、以下のような大きな乖離(かいり)があったという。

  • ほぼ全員(96%)が「組織のサイバーセキュリティ義務を支持している、またはそれに投資している」と主張
  • 78%が組織が強制的なセキュリティトレーニングを提供していると回答
  • 88%が「マルウェアやフィッシングなどの脅威を認識して報告する準備ができている」と回答
  • 過去1年間に1回以上、セキュリティ対策を回避するよう要求したことがある(49%)
  • 覚えやすいパスワードを使用する(77%)
  • フィッシングリンクをクリックした(35%)
  • 仕事用アプリケーションにはデフォルトのパスワードを使用する(24%)

 デフォルトのパスワードを使用していると答えた従業員は、わずか14%だったのに対し、経営幹部は24%に上った。経営幹部は権限のないユーザーと仕事用デバイスを共有する可能性が、一般の従業員より3倍高いという。また経営幹部は、ITセキュリティに対して問題やエラーを報告することを「気まずい」と表現する可能性が2倍高く、フィッシングのリンクをクリックするなどのエラーを報告することに「不安を感じる」と回答する可能性も33%高かった。

 また、過去1年間に既知のフィッシング攻撃の標的となった従業員が33%だったのに対し、幹部は47%に上った。また、悪意のあるリンクをクリックしたり送金したりした従業員は8%だったのに対し、幹部は35%だった。

経営幹部のセキュリティ対策を強化する5つの方法

 ESETは、アクセス権を持つ経営幹部も従業員と同様に、セキュリティリスクとベストプラクティスに関する教育やトレーニングを受講することが重要だとし、以下の方法を推奨した。

1.過去1年間の経営幹部の活動の内部監査を実施する

 経営幹部の行動ギャップがどれくらい大きいかを理解するために、インターネット活動、フィッシングのクリックなどの潜在的なリスク行動、セキュリティやIT管理者とのやりとりなどを調査する。過度なリスクテイキングや意思疎通の問題など、注目すべきパターンがあるかどうか確認し、得られた教訓を考察する。

2.手を付けやすいところから始める

 修正が容易な、悪しきセキュリティ慣行に対処する。全員に二要素認証(2FA)を義務付けるアクセスポリシーの更新、特定の経営幹部が特定の資料にアクセスできないようにするデータ分類および保護ポリシーの確立などが挙げられる。

3.セキュリティ上の不正行為とビジネス上のリスクを結び付ける

 経営幹部がセキュリティの悪しき慣行とビジネスリスクを関連付けて考えられるように援助する。現実のシナリオに基づく、ゲーミフィケーション手法を活用したトレーニングセッションを実施して、経営幹部がセキュリティの悪しき慣行がもたらす影響を理解するように手助けする。

4.シニアリーダーシップとの相互信頼の構築

 ITおよびセキュリティリーダーをコンフォートゾーンから引き出すために、誠実で友好的なサポートが必要だ。ミスから学ぶことに焦点を置き、個人を指摘するのではなく、継続的な改善と学習のフレームワーク内で理解を深められるようにする。

5.経営幹部向けの懇切丁寧なサイバーセキュリティプログラムを検討

 経営幹部向けに特別に設計されたトレーニングおよびオン/オフボードプロセスを考慮する。その目標は信頼とベストプラクティスを構築し、セキュリティインシデントの報告への障壁を減少させることだ。

 ESETは「これらの手順は企業文化の変化が必要であり、時間もかかる。しかし、誠実に経営幹部に相対し、適切なプロセスと管理を導入し、不十分なサイバーハイジーンがもたらす結果を教えれば、成功するチャンスは大きく広がる」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 1年前と比べて1Tbpsを超えるDDoS攻撃が1885%増加、今すぐできる対策は? Cloudflare
  2. 米ホワイトハウス、“懸念国”への半導体輸出、AI規制を発表 日本含む18カ国は規制対象外
  3. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  4. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  5. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  6. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  7. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  8. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  9. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  10. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
ページトップに戻る