サイバー攻撃は「精神攻撃」だった
サイバー攻撃の被害を考えると、まず情報流出や金銭の支払いが頭をよぎる。だが長期的な影響を考慮すると、サイバー攻撃に対応する従業員のケアが重要だ。なぜだろうか。
サイバー攻撃を受けたとき、社内の機密データの流出や予想外の費用の他にも大きな影響がある。対応する従業員のストレスや不安だ。放っておくと何が起こるのか。
組織崩壊につながりかねない問題とその解決策とは
IBM Securityが2022年10月3日に発表した「IBM Security Incident Responder Study」(注1)によると、サイバー攻撃(インシデント)対応の担当者の約3分の2が、日常生活でストレスや不安を感じていることが分かった。影響は予想外に大きい。10人に4人以上の回答者が、大規模なインシデントに対応した後、「極度の精神的負担」または「かなりの精神的負担」があったと報告している。
さらに約3分の2が、インシデントに対応した結果、精神衛生上の援助を求めたことがあると回答している。幸いなことに、5人に4人以上の対応者がこれらの支援サービスを十分に利用できると回答した。
特に問題のあるインシデントはランサムウェアだ。ランサムウェア対応はストレスと心理的要求を悪化させると、回答者は述べた。5人に4人以上がランサムウェアはさらなるストレスの原因だと回答している。
プレッシャーにさらされ続けるセキュリティ担当者
インシデント対応はストレスが高く、需要の高い仕事であり、精神衛生やウェルビーイング(幸福な状態)に悪影響を及ぼす。
IBM Securityによると、悪影響があるにもかかわらず、インシデント対応者は組織を守るという義務感や機会をこの職業にひかれた圧倒的な理由としている。
現場でのストレス要因はランサムウェアや長時間勤務、複数の重複するインシデントにまたがる責任など、数多く報告されている。
回答者の3分の2以上が、少なくとも2つのインシデント対応に重複して取り掛かることが「非常に多い」または「ある程度多い」と回答した。半数以上が「1日8〜12時間」、3分の1以上が「1日13時間以上」働いている。
さらに不眠症や燃え尽き症候群になったことがあると答えた人は30%、仕事が社会生活や人間関係に影響を与えたと答えた人は29%だった。
これらの問題の多くは、サイバーセキュリティの分野では一般的であり、長期にわたって続く可能性がある。
貴重な要員を守る方策が必要
SANS Technology Instituteのプレジデント、エド・スクーディス氏は以前のインタビューで、「何度も何度も繰り返し使用される特定の基本的な攻撃メカニズムがある」と述べている。
「この業界に入った当初は目を輝かせて希望にあふれていたのに、気が付いたら10年もたっていて、以前と同じかそれ以上に疲れやすくなっていた場合、燃え尽き症候群やフラストレーションの心配がある」(スクーディス氏)
IBMが勧める対策は外部の助力を求めること
このような状況を放っておくと、担当者のメンタルは悪化し続け、対応効率は落ち、最後には退職に至ってしまう。代わりの担当者は容易には見つからない。エンドポイントセキュリティやネットワークセキュリティを充実させることに加えて、「人」の問題についても対策が必要だ。IBM Securityによれば、状況を改善するために企業が取るべき行動は2つある。
第一に、詳細なインシデント対応プランとプレイブック(方針やワークフロー、手順などを記したマニュアル)をあらかじめ作成しておくことだ。自社の環境や技術、リソースに合わせてカスタマイズされたプランとプレイブックを作成しなければならない。インシデントが発生したときに必要なリソースを事前に計算して、連絡先を決めておき、内部の人員だけではなく、外部の力も借りるようにする。インシデント対応についてリテーナー契約(保証契約)を結んでおくことで、サービスレベル契約(SLA)に基づいた外部セキュリティチームの助力が得られる。
第二に、プレッシャーがかかった状態でインシデント対応のリハーサルとテストを実行しておくことだ。シミュレーション演習により、プレッシャーの下で対応することがどのようなものなのかを実感でき、攻撃されたとき効果的に活動するためには何を改善すればよいのかが分かる。外部のセキュリティチームと社内の対応チームが正しく統合されているかどうかも、リハーサルとテストで確認できる。統合されていないと社内の負担が軽くならない。
IBM Securityの調査は、Morning Consultに委託されたものであり、2022年7月に10カ国で1107人のインシデント対応者を対象とした。対象国は日本の他、米国、英国、ドイツ、カナダ、オーストラリア、フランス、スペイン、ブラジル、インドだ。
出典:Incident responders report alarming rates of mental strain(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
「釣られた」社員はなぜ報告しない セキュリティ被害を防ぐ組織づくり
サイバー攻撃の件数が増加する一方で、被害に遭った従業員がIT部門に報告する比率は下がり続けている。サイバー被害を最小限に抑えるため、企業が採るべき行動とは。
攻撃者に先回りして潜んだ脆弱性を見つける「Web脆弱性診断ツール」の選び方
脆弱性を突いたサイバー攻撃は、事前に対応していれば防げる問題だが、被害は後を絶たない。こうした事態を未然に防ぐ上で、攻撃者に先回りして脆弱性を見つける「Web脆弱性診断ツール」が有用だ。ツールの特性や選び方、脆弱性問題に対応する上で企業として気を付けるべきことをセキュリティの専門家である上野 宣氏に聞いた。