サイバーニュース.jp

世界のサイバーなニュースを配信

セキュリティ意識向上トレーニングはなぜ機能しないのか、そしてその改善策

カテゴリ:

, , , , , , , , ,

セキュリティ意識向上トレーニングはなぜ機能しないのか

政府機関、民間企業、非営利団体は、従業員に不審なリンクをクリックしたり、信頼できないファイルをダウンロードしたりしないよう数十年にわたり教育を試みてきました。しかし、最近の証拠によると、このサイバーセキュリティ意識向上トレーニングはほとんど効果がなく、場合によっては逆効果になる可能性さえあることが示されています。

組織は、フィッシングシミュレーションから年次ウェビナーまで、サイバーセキュリティ教育に依存して従業員を訓練し、デジタル脅威を特定しブロックしようとしています。セキュリティ業界は、人々が最も弱いリンクであると組織に伝え、トレーニングを解決策として強調しており、そのニーズに応えるためにサイバーセキュリティトレーニングプログラムの専門産業が台頭してきました。しかし、現代のセキュリティ戦略の要であるこれらのプログラムは、的を外しています。

2008年以降に発表された12以上の研究とメタ分析をCybersecurity Diveがレビューしたところによると、一般的なサイバーセキュリティトレーニング方法は、人々がフィッシング攻撃に引っかかる可能性を大幅に減らすことはなく、場合によっては攻撃に対してより脆弱にすることさえあります。

人間行動を研究するサイバーセキュリティ研究者兼コンサルタントのアルン・ヴィシュワナス氏は、「意識向上トレーニングは、現状では解決策ではありません」と述べています。「私が使う例えは、医者の診察室に行くと、意識向上トレーニングという名の薬を投げつけられるようなものです。そして戻ってきても患者はまだ病気で、さらに薬を与えられ続け、最終的には患者が責められるのです。」

意図せざる結果:トレーニング方法の限界

サイバーセキュリティトレーニングを提供するほとんどの組織は、年次または月次で行われる定期的な評価と、ユーザーがフィッシングテストに失敗した後に表示される組み込みトレーニングレッスンのいずれか(または両方)の方法を採用しています。しかし、最近の研究では、これら両方の主要なツールの有効性に疑問が投げかけられています。

  • 年次トレーニングの無効性:シカゴ大学とカリフォルニア大学サンディエゴ校の研究チームは、「年次セキュリティ意識向上トレーニングがフィッシング失敗の減少と相関するという証拠はない」と発表しました。研究者たちは、トレーニングを最近完了した人々がより良い成績を示すと予想していましたが、フィッシングトレーニングの完了時期とフィッシングテストの成績との間に有意な関連性は見られませんでした。
  • 組み込みトレーニングの問題点:
    • 対象者の限定:組み込みレッスンはテストに失敗した人にのみ提供されるため、将来の失敗に脆弱な他の人々が除外されます。研究者たちは、「この設計は、1つのフィッシング詐欺に引っかからないユーザーは将来の攻撃から身を守るためのトレーニングを必要としないと暗黙的に仮定している」と指摘しています。
    • 即時性の不要性:ETHチューリッヒの研究者たちは、インシデントの翌日に従業員に演習について通知し、トレーニング資料に誘導することが、「即時の」組み込みトレーニングと同じくらい効果的であることを見出しました。これは、失敗直後に人々を問い詰める必要がないことを示唆しています。
    • 逆効果の可能性:2021年のETHチューリッヒの研究では、組み込みトレーニングが「従業員をフィッシングに対してより回復力のあるものにしない」だけでなく、「従業員をフィッシングに対してさらに脆弱にする」という負の副作用をもたらす可能性があると報告されています。これは、組み込みトレーニングが「誤解と過信を生み出す」可能性があるため、組織はその導入に注意を払うべきであると結論付けられています。
  • 義務的トレーニングの限界:ETHチューリッヒの2024年の研究では、フィッシング攻撃の最大の危険にさらされている人々にとって、義務的トレーニングが効果的な介入ではないことが示唆されています。ハーバード大学の研究でも同様の結果が出ており、義務的トレーニングはクリック率に「実質的な影響を与えず」、違反者はフィッシングシミュレーションをクリックする可能性が高いままでした。

効果の持続性の欠如

トレーニングがフィッシング攻撃を特定する能力を向上させるように見えても、その効果は長くは続きませんでした。オーストラリアのアデレード大学の研究者たちは、2023年のフィッシング意識向上トレーニングプログラムに関する数十の研究レビューで、「持続的な行動変容を促すプログラムの成功に関する証拠は限られている」と結論付けています。

別の2020年の研究によると、人々はトレーニング直後と4ヶ月後には本物のメールと詐欺メールを区別する能力が著しく向上していましたが、6ヶ月後にはその改善は消失していました。ヴィシュワナス氏は、「私たちの習慣は、私たちが受ける働きかけよりも強い」と述べ、リスクに関する先入観は、一時的なトレーニング資料よりも「より大きな慣性を持っている」と付け加えています。

知識だけでは不十分:行動変容の難しさ

効果的なセキュリティ意識向上トレーニングにおける最大の障害の1つは、知識を行動に変えることの難しさです。トレーニングセッションは、フィッシング攻撃を特定する方法を人々に教えるかもしれませんが、それらの攻撃から彼らを守ることはできません。

人間の行動は、知識、態度、インセンティブの複雑な混合物であり、多くのトレーニングプログラムは、人々がどのように行動するかを認識していません。オランダのライデン大学の研究者たちは、69の研究の2024年のメタ分析で、「トレーニングはエンドユーザーの行動の予測因子(態度や知識など)を大幅に増加させる一方で、行動の変化は最小限しか観察できない」と述べています。

ライデン大学の博士課程候補者であり、メタ分析とサイバーセキュリティトレーニング研究の別の最近のレビューの共著者であるジュリア・プリュマー氏は、「私たちは行動のこれらの前兆を変えることには非常に長けてきましたが、安全であるために必要な実際の行動を変えることには長けていません」と語っています。オックスフォード大学の研究者たちも2019年の論文で同様の結論に達しており、「知識と意識は行動を変えるための前提条件であるが、必ずしも十分ではない」と述べています。

2024年のETHチューリッヒの研究では、フィッシング攻撃の危険性とそれらをブロックすることの重要性に関する定期的な「ナッジ」(リマインダー)が、フィッシングトレーニングの有効性の主な推進力であることが判明しました。最も脆弱な参加者でさえ、トレーニングモジュールの内容は役に立たないと述べていました。ETHチューリッヒのシニアサイエンティストであり、研究の共著者であるカリ・コスティアイネン氏は、ナッジとコンテンツに関するこの発見は、組織に「フィッシング防御全体を再考する」よう促すべきだと述べています。「テスト/欺く側面を強調する代わりに、リマインダーと報告に重点を置くべきです」と彼は言います。

「不自然な」条件下での研究への批判

長年にわたり、多くの研究がセキュリティ意識向上トレーニングが人々のセキュリティ慣行を改善することを発見してきましたが、方法論的な問題のため、これらの発見は当初思われたほど意味がないかもしれません。

  • 実験室環境の限界:フィッシングトレーニングに関する多くの研究は、研究室でボランティアがテストを受けるという形で行われています。シカゴ大学とカリフォルニア大学サンディエゴ校の研究者たちは、このような環境は「トレーニングの有効性について非現実的に『肯定的な結果』を生み出す可能性がある」と指摘しています。彼らの発見は、「実際に組み込みトレーニングを利用するユーザーはごくわずかである」ことを示しています。
  • 自然な条件下での検証不足:オーストラリアの研究者たちは、「不自然な実験条件下」で行われた研究の価値が限定的であり、「自然な条件下での持続的な行動変容を促すプログラムの成功に関する真の洞察を提供しない」と強調しています。
  • 過去の研究の欠陥:ライデン大学チームによる2024年の文献レビューによると、フィッシングトレーニング研究は他にも方法論的な限界を抱えています。
    • 一部の研究ではサンプルサイズが小さすぎました。
    • 参加者が騙されやすいかどうかを確実に判断するのに十分な回数テストを行っていませんでした。
    • スキルを評価する前に、参加者に1回のトレーニングセッションしか提供していませんでした。
    • 研究者たちは、サイバーセキュリティ行動ではなく、行動意図、態度や認識の変化、その他の指標に焦点を当てていました。これらの要素は行動変化の予測因子として特定されていますが、その関連性はしばしば弱いとされています。

根本原因の理解と習慣の形成

シカゴ大学の研究者であるホー氏は、「一般的に展開されているトレーニング形式は、保護効果が小さいか最小限である」というのが現在の学術的なコンセンサスであると述べています。トレーニングプログラムを改善するには、その設計、提供、評価方法を大幅に変更する必要があります。

オックスフォード大学の研究者たちは、フィッシングトレーニングは、実証済みの説得戦略を用いて行動を変えることに焦点を当てるべきであり、逆効果な戦略は避けるべきだと述べています。彼らの提言には以下が含まれます。

  • 人々を怖がらせたり、恥をかかせたりすることは「効果的な戦術ではない」
  • 教育コンテンツは「ターゲットを絞り、実行可能で、実現可能であるべき」
  • 組織は、ユーザーが良い習慣を形成するのを助けるために「継続的なフィードバック」を提供すべき

組織はまた、セキュリティに関する人々の態度を形成するトレーニングを優先すべきであり、それが彼らの動機付け、ひいては行動に影響を与えると研究者たちは述べています。

フィッシングへの脆弱性に影響を与える人間の衝動を分類するモデルを作成したヴィシュワナス氏は、現在の意識向上トレーニングは、簡単に拡張可能な画一的な知識伝達を優先し、行動科学を無視していると主張しています。「これらのプログラムのどれも、習慣を修正することに対処していません」と彼は言い、セキュリティ脅威に関する誤解にも対処できていないと指摘します。「自分が行うことのリスクについて信じていることは非常に重要です。セキュリティ意識向上プログラムのどれもこれに対処していません。」

プリュマー氏もこれに同意し、「組み込みトレーニングは、誰かがフィッシングメールに引っかかる根本原因を調べていないことが多い」と述べています。「私たちはまず、オンラインでの被害が増加する原因を理解し、それからそれを修正しようとする必要があります。」

最終的に、ユーザーは多種多様な懸念される行動を示すため、すべての組織や状況に1つのトレーニング体制で十分ということはありません。ライデン大学の研究チームは、「私たちが個別に対処しようとしている各サイバーセキュリティ行動に適したトレーニング方法を見つける必要がある」と主張しています。

今後、ヴィシュワナス氏は、多くの規制対象企業が使用を義務付けられているプログラムを批判するよりも、欠陥のあるトレーニングを修正することに研究者がもっと焦点を当てるべきだと述べています。今のところ、企業や政府機関は、意識が高まっているにもかかわらず急増している侵害に対して脆弱なままです。「サイバーレジリエンスに関しては、[意識向上キャンペーン]以前よりも進歩しているとは思いません」とヴィシュワナス氏は述べ、「私たちは何かをしていると感じています。これに多額の費用を費やしましたが、私たちはより良くなったのでしょうか?そうは思いません。」

元記事: https://www.cybersecuritydive.com/news/cybersecurity-awareness-training-research-flaws/803201/

投稿をさらに読み込む