サイバーニュース.jp

世界のサイバーなニュースを配信

セキュリティ意識向上トレーニングが機能しない理由とその改善策

カテゴリ:

, , , , , , , , ,

はじめに:効果が疑問視されるセキュリティ意識向上トレーニング

政府機関、民間企業、非営利団体は、従業員に不審なリンクをクリックしたり、信頼できないファイルをダウンロードしたりしないよう長年教育を試みてきました。しかし、最近の証拠は、このサイバーセキュリティ意識向上トレーニングがほとんど効果がなく、場合によっては逆効果である可能性さえあることを示唆しています。

組織は、フィッシングシミュレーションや年次ウェビナーといったサイバーセキュリティ教育に依存し、従業員がデジタル脅威を特定しブロックするよう訓練しています。セキュリティ業界は、人が最も弱いリンクであると主張し、トレーニングを解決策として強調してきました。その結果、サイバーセキュリティトレーニングプログラムの産業が急成長しましたが、これらのプログラムは現代のセキュリティ戦略の要でありながら、的を外しているのが現状です。

2008年以降に発表された12以上の研究とメタ分析をCybersecurity Diveがレビューした結果、一般的なサイバーセキュリティトレーニング方法は、フィッシング攻撃に引っかかる可能性を大幅に減らすものではなく、場合によっては従業員をより攻撃に脆弱にすることが判明しました。これらの研究は、義務的なトレーニングの価値に疑問を投げかけ、テストに失敗した人々への教訓を批判し、初期の研究における方法論的欠陥を浮き彫りにしています。

サイバーセキュリティ研究者で人間行動を研究するコンサルタントのArun Vishwanath氏は、「意識向上トレーニングは、現状では解決策ではない」と述べています。

意図しない結果:現在のトレーニング方法の問題点

ほとんどの組織は、サイバーセキュリティトレーニングを以下の2つの方法のいずれか(または両方)で実施しています。

  • 定期的な評価(多くの場合、年次または月次)
  • 埋め込み型トレーニングレッスン(ユーザーがフィッシングテストに失敗した後に表示される)

しかし、最近の研究は、これら両方の主要なツールの有効性に疑問を投げかけています。

シカゴ大学とカリフォルニア大学サンディエゴ校の研究チームが発表した論文では、「年次セキュリティ意識向上トレーニングがフィッシング失敗の減少と相関するという証拠はない」と結論付けられています。研究者たちは、トレーニングを最近完了した人々がより良いパフォーマンスを示すと予想していましたが、フィッシングトレーニングの完了時期とフィッシングテストの成績との間に有意な関連性は見られませんでした。

シカゴ大学のコンピューターサイエンス助教授であるGrant Ho氏は、「年次意識向上トレーニングは、ユーザーに意味のある新しい知識や教育を提供していない」と述べています。Ho氏らは、サイバーセキュリティコミュニティは「今日のトレーニングが意味のあるセキュリティ上の利益を提供するかどうかを再検討すべきだ」と指摘しています。

補習レッスンの割り当て方法にも同様に深刻な問題があります。レッスンはテストに失敗した人にのみ提示されるため、将来の失敗に脆弱な他の人々が除外されてしまいます。研究者たちは、「この設計は、1つのフィッシング詐欺に引っかからないユーザーは、将来の攻撃から身を守るためのトレーニングを必要としないと暗黙的に仮定している」と述べています。しかし、「私たちの組織の大多数のユーザーは、十分な時間が与えられれば、最終的にシミュレートされたフィッシング攻撃に引っかかる」ことが示されています。

埋め込み型フィッシングレッスンは、それらを必要とするすべての人に届かないため、人々を教育する非効率な方法であると研究者たちは述べています。また、ETHチューリッヒの研究者たちは、2024年後半に発表された研究で、「インシデントの翌日に従業員に演習について知らせ、トレーニング資料に誘導することは、『即時』の埋め込み型トレーニングと同じくらい効果的であるようだ」と報告しており、失敗直後に人々を問い詰める必要はないことを示唆しています。

さらに懸念されるのは、2021年のETHチューリッヒの研究結果です。この研究では、埋め込み型トレーニングが「従業員をフィッシングに対してより回復力のあるものにするわけではない」だけでなく、「従業員をフィッシングに対してさらに脆弱にする」という負の副作用をもたらす可能性があることが示されました。埋め込み型トレーニングは「誤解や過信を生み出す可能性がある」ため、組織はその展開に注意を払うべきだと彼らは述べています。

義務的なトレーニングも、フィッシング攻撃の最大の危険にさらされている人々にとって効果的な介入ではないことが研究で示唆されています。2024年のETHチューリッヒの研究では、フィッシングテストの参加者を2つのグループに分け、一方のグループには2回の失敗で義務的なトレーニングを受けることになることを警告しました。しかし、両グループのパフォーマンスに統計的に有意な差は見られませんでした。

ハーバード大学とその関連医療システムの2019年の研究でも同様の結果が見られました。彼らは、5,400人以上の従業員に20回のフィッシングキャンペーンを実施し、15回目のキャンペーン後、少なくとも5回の詐欺をクリックした人々に義務的なトレーニングを受けさせました。しかし、トレーニングは「クリック率に実質的な影響を与えず、違反者はフィッシングシミュレーションをクリックする可能性が高いままであった」と研究者たちは記しています。

一時的な効果:持続しないトレーニングの成果

トレーニングがフィッシング攻撃を特定する能力を向上させるように見えても、その効果は長く続きませんでした。オーストラリアのアデレード大学の研究者たちは、2023年のフィッシング意識向上トレーニングプログラムに関する数十の研究レビューで、「プログラムが持続的な行動変化を促進する上での成功に関する証拠は限られている」と結論付けています。

別の研究では、トレーニング直後と4ヶ月後には本物と詐欺メールを区別する能力が大幅に向上しましたが、6ヶ月後にはその改善が消失していました。Vishwanath氏は、「私たちの習慣は、私たちが受ける『ちょっとした働きかけ』よりも強い」と述べ、リスクに関する先入観は「一時的なトレーニング資料よりも慣性が大きい」と付け加えています。

知識だけでは不十分:行動変容の難しさ

効果的なセキュリティ意識向上トレーニングの最大の障害の1つは、知識を行動に変えることの難しさです。トレーニングセッションは、フィッシング攻撃を特定する方法を教えるかもしれませんが、それらの攻撃から人々を保護することには失敗します。人間の行動は、知識、態度、インセンティブの複雑な混合物であり、多くのトレーニングプログラムは、人々がなぜそのように行動するのかを認識していません。

オランダのライデン大学の研究者たちは、69の研究の2024年のメタ分析で、「トレーニングは、態度や知識といったエンドユーザーの行動の予測因子を大幅に増加させるが、行動の変化は最小限しか観察されない」と記しています。ライデン大学の博士課程学生でメタ分析の共著者であるJulia Prümmer氏は、「私たちは、行動のこれらの前駆体を変化させることには非常に長けているが、安全であるために必要な実際の行動を変化させることには長けていない」と述べています。

オックスフォード大学の研究者たちも、2019年の論文で同じ結論に達しています。「知識と意識は行動変化の前提条件であるが、必ずしも十分ではない。だからこそ、他の影響戦略と組み合わせて実施する必要がある」と彼らは記しています。「質問に正しく答えることは、個人が意識向上プログラムで得た知識に従って行動する動機があることを意味しない」のです。

2024年のETHチューリッヒの研究では、フィッシングトレーニングの有効性の主な推進力は、トレーニングモジュールの内容ではなく、フィッシング攻撃の危険性とそれらをブロックすることの重要性に関する定期的な「ナッジ」(リマインダー)であることが判明しました。ETHチューリッヒのシニアサイエンティストで研究の共著者であるKari Kostiainen氏は、ナッジと内容に関するこの発見は、組織に「フィッシング防御全体を再考する」よう促すべきだと述べています。「テスト/騙す側面を強調する代わりに、リマインダーと報告に重点を置くことができる」と彼は付け加えています。

「不自然な」条件への批判:研究方法論の欠陥

長年にわたり、セキュリティ意識向上トレーニングが人々のセキュリティ慣行を改善するという多くの研究結果が発表されてきましたが、方法論的な問題のため、これらの発見は当初考えられていたほど意味がないかもしれません。フィッシングトレーニングに関する多くの研究は、研究室でテストを受けるボランティアを対象としています。この環境では、参加者はトレーニング資料に熱心に取り組み、フィッシングの危険性に警戒しているため、トレーニングの有効性について非現実的に「肯定的な結果」を生み出す可能性があります

オーストラリアの研究者たちは、「不自然な実験条件下」で実施された研究の価値が限定的であることを強調しています。これらの研究は、「自然な条件下での持続的な行動変化を促進するプログラムの成功について、真の洞察を提供しない」と彼らは述べています。

フィッシングトレーニングの研究は、2024年のライデン大学チームによる文献レビューによると、他の方法論的限界にも苦しんでいます。一部の研究はサンプルサイズが小さく、他の研究は参加者が騙されやすいかどうかを確実に判断するのに十分な回数テストしていませんでした。また、一部の研究では、スキルを評価する前に参加者に1回のトレーニングセッションしか提供していませんでした。

場合によっては、文献レビューの著者によると、研究者たちは間違った指標を研究することに焦点を当てていました。「結果の測定は、サイバーセキュリティ行動に関心がなく、行動意図、態度や認識の変化、または他の指標に焦点を当てていた」と彼らは記しています。「多くの行動理論はこれらの要因を行動変化の予測因子として特定しているが、この関連性はしばしば弱い」のです。

根本原因の理解と習慣の形成:トレーニングの改善策

シカゴ大学の研究者であるHo氏は、現在の学術的コンセンサスは「一般的に展開されている形式のトレーニングは、保護上の利益が小さいか最小限である」というものだと述べています。トレーニングプログラムを改善するには、その設計、提供、評価方法を大幅に変更する必要があります。

オックスフォードの研究者たちは、フィッシングトレーニングは、実証済みの説得戦略を使用し、逆効果な戦略を避けることで、行動を変えることに焦点を当てるべきだと述べています。彼らの推奨事項には以下が含まれます。

  • 人々を怖がらせたり、恥をかかせたりすることは「効果的な戦術ではない」
  • 教育コンテンツは「ターゲットを絞り、実行可能で、実践的であるべき」
  • 組織は、良い習慣を形成するために「継続的なフィードバック」を提供すべき

組織はまた、セキュリティに対する人々の態度を形成するトレーニングを優先すべきだと研究者たちは述べています。これは、彼らの動機、そして行動に影響を与えるでしょう。

人間の衝動を分類するモデルを作成したVishwanath氏は、現在の意識向上トレーニングは、行動科学を無視し、簡単に拡張できる画一的な知識伝達を優先していると主張しています。「これらのプログラムのどれも、習慣の修正に対処していない」と彼は述べ、セキュリティ脅威に関する誤解にも対処できていないと指摘しています。「自分がしていることのリスクについて信じていることは非常に重要です。セキュリティ意識向上プログラムのどれもこれに対処していません。」

Prümmer氏も同意しています。「埋め込み型トレーニングは、誰かがフィッシングメールに引っかかる根本原因を調べることがほとんどない」と彼女は述べています。「私たちはまず、オンラインでの被害が増加する原因を理解し、それからそれを修正しようと試みる必要があります。」

最終的に、ユーザーはさまざまな懸念される行動を示すため、すべての組織と状況に適合する単一のトレーニング体制は存在しません。ライデン大学の研究チームは、「私たちが対処しようとしている各サイバーセキュリティ行動に適したトレーニング方法を見つける必要がある」と主張しています。

今後、Vishwanath氏は、多くの規制対象企業が使用を義務付けられているプログラムを批判するよりも、欠陥のあるトレーニングを修正することに研究者がもっと焦点を当てるべきだと述べています。今のところ、企業や政府機関は、意識が劇的に向上しているにもかかわらず、急増している侵害に対して脆弱なままです。「サイバーレジリエンスに関しては、以前よりも進歩しているとは思えない」とVishwanath氏は述べています。「私たちは何かをしていると感じています。これに多額の費用を費やしてきました。しかし、私たちはより良くなっているのでしょうか?そうは思いません。」

元記事: https://www.cybersecuritydive.com/news/cybersecurity-awareness-training-research-flaws/803201/

投稿をさらに読み込む