(出典:Shutterstock)


本連載ではこれまでにフィッシング攻撃に関する調査報告書をたびたび紹介しているが、今回紹介する報告書はその中でもさらに、フィッシング攻撃に関する教育の効果にフォーカスしたユニークなものである。

報告書を発表したKnowBe4社は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた統合型プラットフォームを提供している企業であり、主な調査対象は同社のプラットフォームを利用している組織だと思われる(注1)。そういった意味では本報告書は同社のプラットフォームの導入効果のデモンストレーションであると言えよう。しかしながら調査対象の組織数が35,681、ユーザー数が1250万人という大規模なものであり、トレーニング実施前のデータについては一般的な実態調査としても価値が高いと思われるので、ここで紹介させていただくことにした。

本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://info.knowbe4.com/phishing-by-industry-benchmarking-report
(PDF 35ページ/約 4.9 MB)

なお、本報告書については日本法人である KnowBe4 Japan 合同会社が日本語版を作成中とのことである。日本語で詳しく読みたいという方は同社に照会されたい(注2)

本報告書では全体を通して「PPP」という指標が用いられている。これは「Phish-prone Percentage」の略で、組織における従業員の、フィッシング攻撃に対する感受性(引っかかりやすさ)を指標化したものである。具体的には、KnowBe4社のプラットフォームを用いて配信された擬似フィッシングメールに含まれているリンクをクリックしたり、添付ファイルを開いたりした人数をカウントして算出している。

まず図1は調査結果全体のサマリーで、組織の規模ごとにPPPが大きかった業種のトップ3を表している。

画像を拡大 図1.  PPPが大きかった業種のトップ3(組織規模別) (出典: KnowBe4 / Phishing by Industry Benchmarking Report 2023)


小規模(従業員数249人以下)および中規模(同250〜999人)の組織では上位3位までの業種が概ね30%台前半に収まっており、これは全体の平均(33.2%)とほぼ同水準である(注3)

しかしながら大規模組織(従業員数1,000人以上)におけるPPPが突出して大きいことに驚く。一般論として、中小企業の方がセキュリティ対策にかけられる予算や人手が少ないことから、この手の報告書では中小企業におけるセキュリティのレベルアップが課題とされることが多い。ところが本報告書においては逆に大企業の方が、大雑把に言えばセキュリティのレベルが低いのである。しかも上位3位の顔ぶれは前年と同じ(2位と3位とは入れ替わっている)とのことであり、数字もほとんど変わっていないようなので、これらは偶発的なデータではないと言える。

本報告書には、このように大企業においてPPPが高くなっている理由についての考察は見当たらないし、筆者としても全く理由が分からない。もしかしたら組織が大きすぎて、ルールの周知や注意喚起などが従業員全体に行き届いていないのかもしれない(筆者はそのくらいしか思いつかない)。

図は省略させていただくが、地域別に見ると、アジアだけは大規模組織の平均値が小中規模組織に比べて低い(28.8%)というのも興味深い。この点に関しても報告書のなかで特に考察されておらず原因が不明だが、組織風土や雇用形態、組織内でのガバナンスの仕組みなどの違いが影響しているのかもしれない。