過去最多を記録したフィッシング報告件数、“人”が狙われている

　ランサムウェア、サプライチェーン攻撃、テレワークを狙った攻撃……。新型コロナウイルス感染症のパンデミック以降、サイバー攻撃は激化している。

　そして、こうした攻撃をよく見ると、ある共通点があることに気づく。それは、攻撃の入り口として“人”が狙われていることだ。マルウェアを潜ませたファイルをメールに添付して送りつける、あるいはマルウェアを組み込んだWebサイトに誘い込むなど、“人”を起点として攻撃が始まっているのである。

　この傾向はデータでも裏付けられている。フィッシング詐欺に関する情報を収集・発信しているフィッシング対策協議会の調査によれば、2021年8月のフィッシングメールの報告件数およびフィッシングサイトのURL件数は、2008年の調査開始以来、ともに最多を記録したという。

　企業・組織において、“人”は明らかな脆弱性である。これまでITシステムへのセキュリティ対策は継続的に行われてきたが、“人”に対する対策は十分ではなかったのではないか、という疑問が出てくる。

　こう書くと「我が社では半年に1回、フィッシングメールの訓練を実施している」「社員全員にセキュリティ研修を受けさせた」といった反論があるだろう。しかしそれでセキュリティ意識が全社員に定着したと言い切れるだろうか。……実際には難しいだろう。社員側からしても「やらされ感」があり、また頻度も少ないため、“なんとなく知っているレベル”にとどまるのではないだろうか。

　こうした現実を踏まえて、米国では「セキュリティアウェアネス（Security Awareness）」というキーワードが注目されている。本記事の続きではセキュリティアウェアネスの専門家の意見を聞きながら、これからのセキュリティ教育を考えていこう。社員のセキュリティ意識を、たとえば私たちが外から帰ってきたら手洗いをするように、“やって当たり前のレベル”にまで高めるには何が必要なのだろうか。