サイバー攻撃の脅威は大きくなる一方だ。サイバーインシデントによる損害や混乱が広がるのを防ぐためには、企業やユーザーのリスク教育をもっと強化する必要がある。
電気・水道・ガスなどの公益事業やインフラ事業者、生産施設、病院などに対するランサムウェア攻撃などの例を見れば分かるように、サイバー攻撃は、私たちに極めてリアルな被害を及ぼす可能性がある。その結果、数日間、数週間、あるいは数カ月間にもわたって、重要な商品やサービスへのアクセスが制限されてしまいかねないのが現実だ。
しかし、サイバー攻撃がもたらすリスクにも関わらず、多くの企業やその経営陣は、今もサイバー犯罪者から受ける可能性のある脅威や、自社のネットワークを守るための最善の手段について十分に理解していない。
問題の1つは、多くの企業ではサイバーセキュリティが日常業務の中に根付いておらず、従業員が毎年受けるサイバーセキュリティ講習の時に、セキュリティについて考えるように言われるだけで終わっているということだ。これでは、1年間の残りの時期は、ずっとサイバー攻撃のリスクに晒され続けることになる。
MIT Sloan School of Managementの情報技術および工学システム教授であるStuart E. Madnick氏は、米ZDNetの取材に対して、「認識すべき重要な問題の1つは、実施されている教育やトレーニングのほとんどにあまり効果がないことだ」と述べている。
「1年に1度、30分の動画を見ることを義務づけるだけでは、ものの役には立たない」
1972年からMITで教鞭を執っており、この20年以上にわたってMITの情報技術グループで責任者を務めているMadnick氏によれば、企業は積極的に関係者全員を巻き込んだサイバーセキュリティの文化を構築する必要があるという。
もし誰もが、所属組織がサイバー攻撃の被害に遭ったらどんな影響を受けるかをもっと理解していれば、サイバーセキュリティについてもっと注意深くなるかもしれない。
「自分が会社を守るために必要な役割を果たしていると思えれば、セキュリティが重要に感じられるだろうが、私たちはそのような考え方に慣れていない。それを理解してもらえるようにしなければならない」とMadnick氏は言う。
多くの人は、サイバー攻撃やハッキングといえば、自分の個人情報や金融機関を利用するための情報が盗まれることを連想するだろう。しかし実際には、サイバー攻撃はそれよりもはるかに被害もコストも大きいものになりつつある。ランサムウェア攻撃や情報漏えい、ビジネスメール詐欺(BEC)などのインシデントは、企業に数百万ドル規模の損害を与えかねない。
また、重要インフラや重要なサービスがインターネットに接続されるようになっているため、サイバー攻撃によって混乱が広範囲におよぶリスクもある。