「釣られた」社員はなぜ報告しない セキュリティ被害を防ぐ組織づくり

サイバー攻撃の件数が増加する一方で、被害に遭った従業員がIT部門に報告する比率は下がり続けている。サイバー被害を最小限に抑えるため、企業が採るべき行動とは。

[Ryan Golden，HR Dive]

　サイバーセキュリティ関連のインシデントの件数や、1件あたりの対応コストが増加している。一方で被害に遭ったことを「隠す」従業員の割合は年々増え、結果として被害額が急増している。

　米連邦捜査局（FBI）やセキュリティ関連企業の調査で被害状況を振り返りつつ、サイバー攻撃の被害を最小限に抑えるために企業が採るべき行動を見ていく

4人に1人が「釣られて」いた？

　企業が2021年にランサムウェア攻撃に対して支払った「身代金」の平均額が、対前年比で78％増加した（注1）。

　これはグローバルにセキュリティサービスを提供するPalo Alto Networksが報告したもので、平均支払額は50万ドルを超えたという。

　FBIは5400万ドル以上の損害が査定されたフィッシング詐欺の問い合わせが、24万1342件あったと報告する。同局は、メール送信者を確認することでオンラインコミュニケーションに細心の注意を払うよう呼びかけている。犯罪者はメールアドレスの1文字だけを変えて被害者を油断させることがあるなど注意が必要だ。

　メールセキュリティ企業のTessianの調査では、ハイブリッドワークが進む中で従業員の4分の1以上が過去1年間にフィッシング攻撃に引っ掛かり、さらに多くの従業員がメールを誤送信したと報告されている。

サイバー被害を最小限に抑える組織づくりとは

　IT部門にサイバー被害の報告しなかった従業員の割合は、2020年は16％であったが2021年には21％に増加した。この傾向は、従業員はミスを報告することで“より厳しい結果”を招くことを心配して、報告を恐れている可能性があるとTessianは指摘している。

　そのため、サイバートレーニングで従業員に恐怖心を与えてコンプライアンスを守るようアプローチするのではなく、労働者が心理的安全性を感じて報告しやすい環境を作らなければならないとTessianは報告する（注2）。

　トレーニングとは別に、人事部門はセキュリティチーム、ITチーム、その他の関係者と打ち合わせの場を設け、組織が継続的にセキュリティ対策に取り組めるようバックアップする必要がある。従業員データが漏えいした場合、その後の対応は非常に重要になるため、監査サービスやフォレンジックの専門家と連携することも大切だ（注3）。

　この数カ月で企業の外部にも脆弱（ぜいじゃく）性が存在することが明らかになっている。2021年12月、タイムキーピングと給与計算のプロバイダーのUKGがランサムウェアの攻撃を受けた。同社はバックアップを取り、重要なプロセスを継続するために奔走することになった（注4）。また、人事関連や他のベンダーに対する攻撃も発生しており、社内だけではない、より広範な領域の脆弱性を懸念するようになってきている（注5）。

出典：Workers increasingly likely to fall for ‘advanced’ phishing attacks, firm says（HR Dive）

注1：Cyber extortion surges 78% on spread of ‘ransomware-as-a-service’

注2：Training creators say cybersecurity drills don’t have to be ‘fight or flight

注3：How HR can prepare for a cybersecurity attack‘before it’s too late’

注4：Despite ‘unparalleled’ outage, customers say they ’re sticking with Kronos

注5：Are businesses covered if their service provider is hit by ransomware?