サイバーセキュリティ意識に関するよくある誤解
サイバーセキュリティ啓発月間を迎えるにあたり、善意から広まりながらも悪影響をもたらすことが多い、セキュリティに関する一般的な神話や誤解の波に備える必要があります。 これらのトピックは、経験豊富な専門家の間でも議論を呼ぶ可能性があるため、データ主導の視点を取り入れ、最も幅広いビジネス層を対象とします。
その幅広さがしばしば意見の相違の原因となります。 すべての企業は、リスクと許容できる損失、適用可能な脅威モデルと可能性のある脅威の主体、そして自社の環境がいかに独特であるかについて、独自の話し合いを行う必要があります。 しかし、共通するのはデータ、専門知識、客観性であり、部族的知識、理解のない模倣、確証バイアス、生存バイアスではありません。
私たちは、電子メール内のリンクのクリック、公衆 Wi-Fi の使用、そして「ジュースジャッキング」、つまり携帯電話の無料 USB 充電の危険性という「3 大」に取り組みます。
#1 メール内のリンクをクリックする
取り除く: フィッシングや詐欺の明確な兆候を教えますが、「リンクをクリックしない」などの非現実的なアドバイスは非生産的であるだけでなく、有害です。
「安全な使用」の意識は強力で、従業員が一般的な問題に対処しながらテクノロジーをより有効に活用するのに役立ちますが、「リンクをクリックしない」などの基本的な行動を変えるように何年も人々に求めていますが、効果がないようです。 Verizon の2023 年データ侵害調査レポートによると、すべての侵害の 74% に人的要素 (電子メールだけではない) が含まれており、Cyentia Institute の2022 年情報リスク洞察調査では、フィッシングが 20 部門のうち 18 部門で上位 3 位の初期アクセス手法としてランク付けされています (情報およびその他のサービス部門では 4 位)。
事故は起こるものであり、善意を持ち、訓練を受けた従業員であっても、時間が経つと悪意のあるリンクをクリックすることになります。 これは、何年もユーザーに電子メールの使用方法を変えるよう説得してきた後も、セキュリティ プログラムが依然として電子メールとデバイスのセキュリティに投資している理由の 1 つです。 さらに懸念されるのは、貴重なセキュリティ意識向上トレーニングでこのトピックに費やされる時間が、実用性の欠如により聴衆の注目を失ってさらに害を及ぼしていることです。
企業は、従業員がリンクをクリックするよりも、より回復力を持つ必要があります。 従業員は、特に現場の真実の報告(「何かを見たら、何かを言う」)に関しては協力できますが、このリスクを軽減するのはセキュリティ チームの責任です。
#2 公共 Wi-Fi の使用
取り除く: 公衆 Wi-Fi はビジネスシーンでも安全に使用できます。
公共の Wi-Fi は、自宅やオフィスのネットワークよりも信頼性が低く、危険であるという考えが根強く残っています。 しかし、リモートワークが急増した2020年から2022年までを含め、公共Wi-Fiの大量悪用に関する報告はない。 連邦取引委員会(FTC)は2011年に公衆Wi-Fiの使用に対して警告を発したが、 2023年に安全に使用できるようにする技術開発を反映してガイダンスを更新した。
比較すると、公共の場での機会犯罪のようなラップトップやデバイスの盗難はありますが、これはストレージ暗号化、モバイル デバイス管理 (MDM)、およびロックアウト ポリシーへの投資によって軽減される可能性の高いリスクです。 サブポピュレーションの例としては、米国保健福祉省公民権局 (OCR) が作成した、500 人以上の個人に影響する安全でない保護された健康情報の侵害の報告のアーカイブ リストがあります。このリストには、2009 年以降、3 億 4,500 万人以上の個人に影響した、ラップトップまたはその他のポータブル電子デバイスの盗難または紛失の 4,600 件以上のインシデントが示されています。
一方、ローカル ネットワーク トラフィックはセキュリティの傾向を続けています。
- Google の「ウェブ上の HTTPS 暗号化」透明性レポートによると、Google 全体のトラフィックの 90% 以上が暗号化されており、Windows や Mac などのオペレーティング システムで暗号化トラフィックが広く採用されています。
- Mozilla の Firefox Telemetry による、HTTPS を使用して Firefox によって読み込まれる Web ページの割合に関する Let's Encrypt 統計によると、世界中のユーザーのトラフィックの約 80% が暗号化されており、米国と日本のユーザーのトラフィックの約 90% が暗号化されています。
- Google の「転送中のメールの暗号化」透明性レポートによると、Google (Gmail) との間で送受信されるメールの 90% 以上が暗号化されています。
- DNS セキュリティ機能には依然として導入上の課題がありますが、アプリ トラフィックに対する強力な暗号化サポートと、企業が管理するトラフィックに対する VPN および同等の技術の普及により、その課題はある程度軽減されています。 DNSSEC の採用率は低いですが ( Verisign の DNSSEC スコアボードによると、保護されている .com ドメインは 5% 程度)、2020 年に急増し、持続的な成長を遂げています。 同様に、DNS over HTTPS (DoH) はオペレーティング システムとブラウザーでサポートされています。
デバイスにネットワーク対応サービスが搭載されていない限り (ユーザー デバイスの場合は極端な例外)、パブリック Wi-Fi には、他の Wi-Fi ネットワークと比較して、固有のリスクはほとんどまたはまったくありません。 ゼロ トラスト アプローチを採用している人にとって、パブリック Wi-Fi は、パブリック ネットワークとプライベート ネットワークの両方を決して信頼しないという好例です。
#3 「ジュースジャッキング」または携帯電話の無料 USB 充電の危険性
取り除く: この攻撃は携帯電話のモデル全体で実証されていますが、その使用を示唆する確認データはなく、ユーザーによる軽減は低コストであるため、緊急時には無料の USB 充電器を使用するのが通常は安全です。
携帯電話を盗まれる恐れがあるため放置したり、セキュリティ会議でこうした攻撃の「実演」が行われる可能性が高い場合など、USB 充電ステーションを避けたい場合もあるが、「ジュースジャッキング」の増幅を裏付ける確認済みのデータはない。
- 連邦通信委員会(FCC)は、この攻撃が発生したという確認された事例は認識していないと報告している。
- スノープスは、2019年にロサンゼルス郡地方検事局から、また2023年にFCCと連邦捜査局(FBI)から出された「ジュースジャッキング」の警告をファクトチェックしたが、広範囲に使用されている証拠は見つからなかった。 これは、FCC と FBI からの 2023 年の警告について報告する際にKrebsOnSecurity によって参照されました。
このリスクを懸念する人々にとって、リスクの軽減は雇用者と従業員の両方にとって低コストです。
- 特にビジネス旅行者にとっては、標準的な機内持ち込み手荷物となっている電源コンセントから USB への充電アダプターと小型のモバイルバッテリーパックを使用してください。
- USB に接続する際に、携帯電話が「データを共有するか」または「このコンピューターを信頼するか」などを尋ねてきたら、「充電のみ」を選択します。
- ユーザーのリスクが著しく高いと評価された場合は、データをブロックしたり伝送しない特別な充電器やケーブルの購入を検討してください。
無料の USB 充電ステーションの大きなリスクは、デバイスが放置され、誰かが持ち去ってしまうことです。 繰り返しになりますが、デバイス管理と衛生管理の実施に対する企業の投資は、通常、合理的な緩和策となります。
これらのトピックに対する認識を高めることがなぜ悪いのでしょうか? 意識が高まることは常に良いことではないでしょうか?
通常、セキュリティは同僚からほとんど好意的に注目されず、企業が義務付けたトレーニングも刺激にはなりません。 これらの貴重な瞬間と第一印象は、セキュリティ チームが持つ最も高価なリソースの一部です。
最善の場合でも、重要でない、関連性がない、不正確、または非現実的な資料に費やされる時間はすべて無駄になります。 最悪の場合、セキュリティ チームは聴衆を失い、メッセージがいかに重要であっても次回は注目されなくなります。
マクロの疑問は、なぜこのような神話や誤解が根強く残っているのかということです。 記事の冒頭で述べたように、問題の一部は人間にあります。
もう 1 つの問題は、このような誤解がコンプライアンス フレームワークやビジネス契約に書き込まれるという構造的な問題です。 こうした処方箋は、特にテクノロジーの進化に合わせて更新されない詳細さで書かれた場合、古くなっても通用することはめったにありません。 その結果、セキュリティ プログラムには時代遅れの要件や架空の要件が実装され、それがチームによって取り上げられ、次の雇用主に引き継がれることになります。 この感染した知識はマルウェアよりも悪いです。