内部脅威というと、不満を抱えた従業員が雇用主や上司に怒りをぶつける、というイメージが一般的です。しかし、セントラルフロリダ大学の研究によると、このようなケースはめったにないことが分かっています。
サイバーセキュリティへの投資は、パンデミック時の攻撃の急増に直面して大幅に増加しましたが、多くの場合、この投資はデータやシステムの安全を確保するための技術に集中しています。このような投資は価値がありますが、どのようなシステムにおいても最も脆弱なのは、ほぼ間違いなく私たち人間です。著者らは、組織がサイバーセキュリティのトレーニングを行う場合、内部脅威の攻撃は悪意を持って行われるという暗黙の前提が存在することが多いことを強調しています。
しかし、現実には、従業員が会社のサイバーセキュリティプロセスを遵守できないのは、ストレスが原因である可能性が高いのです。研究者たちは、武漢ウイルスのパンデミック時にリモートで勤務していた約330人の従業員にクイズを行いました。従業員は、会社のサイバーセキュリティポリシーを遵守しているか、ストレスレベルなどとともに尋ねられました。
さらに、パンデミックの影響でリモートワークに移行したことがサイバーセキュリティにどのような影響を与えたかについて、36名の従業員に詳細なインタビューを実施しました。その結果、セキュリティポリシーの遵守はかなり断続的であることがわかりました。実際、典型的な勤務日において、参加者の67%が少なくとも一度は公式のサイバーセキュリティポリシーを回避したことがあると答え、任意のタスクにおいて回避する確率は5%でした。
このような規模の違反が、上司や会社に対する広範な不満によって引き起こされるとは考えにくいことは、おそらく自明であり、研究者は実際にそれを発見した。実際、セキュリティ・プロトコルを回避した理由を尋ねたところ、最も多かった回答は、自分自身や同僚のために、そうすることで物事をうまく処理することができるから、というものでした。この理由は、意図的なセキュリティルール違反の約85%を占めた。一般的な認識とは異なり、損害を与えたいという意図的な欲求は、セキュリティ違反の3%に過ぎませんでした。つまり、悪意のない違反は、意図的な悪意のある違反の約28倍もあることになります。
重要なことは、比較的穏やかな違反は、従業員がストレスに苦しんでいる日にはるかに多く見られたということです。このことは、ストレスにさらされることで、やるべきことができなくなると認識されると、ルールを守ろうとする気持ちが弱まることを強く示唆しています。
ストレスの原因はよく言われることで、家族の要求、仕事の不安、同僚との衝突、さらにはサイバーセキュリティの規則そのものの要求などがあります。しかし、仕事をする上で直面するプレッシャーと、サイバーセキュリティの規定がその仕事を阻害しているという考えとの間には、明確な関連性が見られました。規則に従うと、仕事を完了するのに多くの時間や労力を要すると感じることが多く、また、規則のせいで自分が監視されているように感じ、信頼できないと不満を漏らす従業員もいました。
この調査結果は、インサイダー脅威が悪意ある意図的なものであることは少なく、むしろトレーニングの欠如や、できるだけ早く物事を終わらせたいという強いプレッシャーによるものであることを気づかせてくれます。
リスクを減らすには?
では、ガイドラインの遵守、ひいてはシステムのセキュリティを向上させるために、管理者は何をすればよいのでしょうか。まず、セキュリティ違反の圧倒的多数が意図的であり、良性であることを認識することが大切です。サイバーセキュリティのトレーニングは、それを基本に、セキュリティを維持しながら業務を遂行する方法を従業員に伝える必要があります。
また、セキュリティポリシーに違反したときには、自信を持って発言してもらうことも重要です。そうすることで、より早く問題に対処し、セキュリティリスクを低減することができます。
「従業員がミスをしたとき、人々はどのように反応するのか」とカスペルスキーのクリス・ハーストは言います。「社員がミスをした場合、そのことをオープンにし、起こりうるリスクに対して何かできる人にエスカレートさせるだけの自信を持つことが非常に重要です。」
また、セキュリティ規則の作成には、一般の従業員も参加することが望ましいと思います。そうすることで、従業員の業務を阻害するような規則は作られず、その結果、従業員は回避策を見つけようとし、規則自体の有効性が低下するのを防ぐことができるのです。規則が人々の業務にどのような影響を与えるかをより良く理解することで、セキュリティチームはより良い遵守の機会を得ることができます。これは、リモートワークに移行し、異なる働き方をする人々が増えているため、特に重要なことです。
もちろん、従業員のストレスやプレッシャーに対処することも悪いことではありませんが、この調査から得られる重要なポイントは、仕事の設計方法とサイバーセキュリティの設計方法が本質的に関連していることです。サイバー攻撃は増加傾向にあり、ほとんどの組織に影響を与えているため、インサイダー脅威は仕事とセキュリティ規則の設計の仕方が悪いせいだと考えるのはもはや十分ではありません。このことを理解することで、私たちは前向きな前進を始めることができるのではないでしょうか。