侵害増加の陰に「セキュリティ知識がある」の過信 Arctic Wolf調査で浮き彫りに：恐怖の文化を醸成

Arctic Wolfの調査で、依然として見過ごされているセキュリティ対策の盲点が浮き彫りになった。人の行動と意識の甘さが組織防御の弱点になっている。その実態とは。

[＠IT]

　セキュリティベンダーArctic Wolf Networksは、人に起因するリスクを分析した年次レポート「2025 Human Risk Behavior Snapshot」（人的リスクレポート）を公開した。これによれば、過去1年間に68％の組織が侵害を受け、2024年の調査と比べて8％増加していた。調査は世界の1700人のITリーダーおよびエンドユーザーを対象に実施したものだ。

　同社が2025年10月15日に公開したブログで同社のアダム・マレー氏は、「組織は高度な防御策に投資しているものの、単純な人為的ミスや危険な行動がその取り組みを台無しにしている」と指摘。ITリーダーは総じて自身の組織が安全だと考えがちだが、その意識と現実の人為的リスクのギャップを埋めなければならないとしている。

“人”が引き起こすセキュリティリスクの実態

「専門知識がある」は危険

　調査ではITリーダーの約3分の2、エンドユーザーの半数が「悪意のあるリンクをクリックした経験がある」と回答した。それにもかかわらず、ITリーダーの4分の3は依然として自身の組織が安全だと考えており、さらにはクリックしたITリーダー5人に1人はそれを報告していなかった。

　フィッシングでは専門知識を持つITリーダーでも攻撃の影響を受けやすいだけでなく、対策が徹底しない背景には、恐怖や羞恥心が透明性を妨げるという文化的な問題もあるとマレー氏は指摘している。

新たな脅威となる生成AI

　ITリーダーの80％（日本では60％）、従業員の63％（日本では52％）が業務で生成AIツールを使用していた。そのうちITリーダーの60％（日本では51％）、従業員の41％（日本では46％）が、機密情報を生成AIツールに入力していると回答した。

　データが組織の管理下にない場合、それがどのように保管され、使用されているのかを把握できない。

MFAの未導入

　レポートは多くの組織が依然として基本的な対策に苦慮していることを浮き彫りにした。多要素認証（MFA）を全ユーザーに義務付けている企業は、世界全体で54％、日本では40％にとどまる。依然として「最も基本的な防御」の一つが抜け落ちており、攻撃者が侵入しやすい状態が続いている。

懲戒より教育が有効

　セキュリティミスを犯した従業員に対する姿勢についても、マレー氏はブログで触れている。詐欺に引っ掛かった従業員を解雇すると回答したITリーダーの割合は、前回の66％から77％へと増加した。

　同氏はその懸念は理解できるとしつつ、懲罰的なアプローチは逆効果だとも述べている。恐怖の文化を醸成することは、報告を阻害する要因となり、最終的には組織のセキュリティが低下する。そうではなく、是正のためのトレーニングと教育を優先することでリスクが小さくなる傾向にあるという。