(出典:Shutterstock)


今回紹介させていただくのは、サイバーセキュリティに関する研修事業や普及啓発活動を展開している非営利組織であるSANS Institute(注1)が毎年発表している「Security Awareness Report」の2023年版である。これについては本連載で2022版を紹介させていただいたので(注2)、比較しながらナナメ読みしていきたいと思う。

なお本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://go.sans.org/lp-wp-2023-security-awareness-report
(PDF 29ページ/約 10.9 MB)(見開きで1ページとなっているためPDFファイルとしてのページ数は16ページ)

この報告書は次の3つのセクションに分かれている。

Section 1. Benchmarking Your Program
Section 2. Maturing Your Program
Section 3. Growing Your Career

ここで「Program」と表現されているのは「security awareness program」のことで、サイバーセキュリティに対する意識向上を図るために組織で行われている活動全般を指す。

最初のセクションでさまざまな組織における意識向上プログラムがどのような状況になっているのかを評価した上で、2つめのセクションではプログラムを成熟させていく方法について分析している。3つめセクションでは、この分野におけるキャリア開発について解説されている。

まず図1は、自組織のセキュリティ意識向上プログラムがどのような状況かを、SANS Instituteが定義しているプログラムの成熟度(maturity)の中で、どのくらいのレベルにあるかを尋ねた結果である。

画像を拡大 図1. 自組織におけるセキュリティ意識向上プログラムの成熟度レベル (出典: SANS Institute / SANS 2023 Security Awareness Report)


ここでSANS Instituteによるプログラムの成熟度は次の5段階となっている。

・Non-existent (存在しない)
・Compliance-focused (コンプライアンス中心)
・Promoting Awareness & Behavior Change (意識向上の推進と行動の変化)
・Long-Term Sustainment & Culture Change (長期的な持続と文化の変化)
・Metrics Framework (計量の枠組み)

2022年版の同データと比較すると、「Compliance-focused」の割合が大幅に減少し、「Long-Term Sustainment & Culture Change」が増加しているのが分かる。したがって全体的には成熟度がより高まってきていると言える。地域ごとに見ていくと、アジアと南米でこの傾向が顕著である(注3)

このようにサイバーセキュリティに対する意識向上プログラムへの取り組みが進んでいる背景のひとつは、組織のサイバーセキュリティ対策において、テクノロジーではカバーできない人的要因の重要性が高いためである。その中でも特にフィッシング(phishing)が懸念されていることが、本報告書でも示されている。近年はAIによってより高度なフィッシングが容易に行われるようになると本報告書でも指摘されており、意識向上プログラムの重要性はますます高まると考えられる。