海外コメンタリー

「サイバーセキュリティ教育は機能していない」、攻撃は悪化の一途--MIT教授が指摘

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2022-01-19 06:30

 サイバー攻撃の脅威は大きくなる一方だ。サイバーインシデントによる損害や混乱が広がるのを防ぐためには、企業やユーザーのリスク教育をもっと強化する必要がある。

 電気・水道・ガスなどの公益事業やインフラ事業者、生産施設、病院などに対するランサムウェア攻撃などの例を見れば分かるように、サイバー攻撃は、私たちに極めてリアルな被害を及ぼす可能性がある。その結果、数日間、数週間、あるいは数カ月間にもわたって、重要な商品やサービスへのアクセスが制限されてしまいかねないのが現実だ。

 しかし、サイバー攻撃がもたらすリスクにも関わらず、多くの企業やその経営陣は、今もサイバー犯罪者から受ける可能性のある脅威や、自社のネットワークを守るための最善の手段について十分に理解していない

 問題の1つは、多くの企業ではサイバーセキュリティが日常業務の中に根付いておらず、従業員が毎年受けるサイバーセキュリティ講習の時に、セキュリティについて考えるように言われるだけで終わっているということだ。これでは、1年間の残りの時期は、ずっとサイバー攻撃のリスクに晒され続けることになる。

 MIT Sloan School of Managementの情報技術および工学システム教授であるStuart E. Madnick氏は、米ZDNetの取材に対して、「認識すべき重要な問題の1つは、実施されている教育やトレーニングのほとんどにあまり効果がないことだ」と述べている。

 「1年に1度、30分の動画を見ることを義務づけるだけでは、ものの役には立たない」

 1972年からMITで教鞭を執っており、この20年以上にわたってMITの情報技術グループで責任者を務めているMadnick氏によれば、企業は積極的に関係者全員を巻き込んだサイバーセキュリティの文化を構築する必要があるという。

 もし誰もが、所属組織がサイバー攻撃の被害に遭ったらどんな影響を受けるかをもっと理解していれば、サイバーセキュリティについてもっと注意深くなるかもしれない。

 「自分が会社を守るために必要な役割を果たしていると思えれば、セキュリティが重要に感じられるだろうが、私たちはそのような考え方に慣れていない。それを理解してもらえるようにしなければならない」とMadnick氏は言う。

 多くの人は、サイバー攻撃やハッキングといえば、自分の個人情報や金融機関を利用するための情報が盗まれることを連想するだろう。しかし実際には、サイバー攻撃はそれよりもはるかに被害もコストも大きいものになりつつある。ランサムウェア攻撃や情報漏えい、ビジネスメール詐欺(BEC)などのインシデントは、企業に数百万ドル規模の損害を与えかねない。

 また、重要インフラや重要なサービスがインターネットに接続されるようになっているため、サイバー攻撃によって混乱が広範囲におよぶリスクもある。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]