IRONSCALESの創業者兼CEOであるエヤル・ベニシティ氏は、15年以上の業界経験を持つ先駆的なセキュリティソフトウェアエンジニア兼エグゼクティブリーダーである。
あなたが十分な資金を持つ組織のセキュリティ責任者だとして、次世代のメールセキュリティに投資したばかりなのに、最初の週に、人事をテーマにした平凡なフィッシングメッセージが技術的な防御をすり抜けてしまったとしよう。なぜなら、不審なメールが受信箱に届いたとき、誰も「報告」ボタンを押さなかったからだ。
最新の統計を見ると、この話はとても現実的だ。実際、AIが生成したフィッシングメールやQRコードを使ったフィッシングメールは、従業員の30%以上がクリックしてしまう。また、ベライゾンの「2025年データ侵害調査レポート」によると、侵害の68%に人的要素が関与している。
サイバーセキュリティツールの効果は、それを使う人々の意識次第である。では、エンドユーザーの抵抗感を引き起こす要因は何か、それによるコストは何か、そしてその軽減のために何ができるのか?簡潔に言えば、より知的なソリューションに頼り、適切な種類のトレーニングとテストに投資して、警戒心が高くセキュリティを意識した従業員を育成することである。
エンドユーザーの抵抗感の診断:従業員のセキュリティ問題を引き起こす要因
エンドユーザーの抵抗感への対処法を説明する前に、その背景を理解することが重要だ。ほとんどの従業員は良い仕事をし、組織を攻撃から守りたいと考えている。無関心は単なる無気力から生まれることはほとんどない。むしろ、従業員がセキュリティポリシーやテクノロジーを避ける原因となるのは、文化的・技術的な問題であることが多い。
セキュリティツールやポリシーについてエンドユーザーと話し、調査すると、いくつかのテーマが頻繁に浮上する。その一つが行動的疲労である。Google Cloudの調査によると、管理者の61%が脅威データの「ノイズ」に「圧倒されている」と報告しており、アラートの最大53%が無関係であることが判明し、信頼を損ない、ユーザーがプロンプトを無視して関与しなくなるよう条件付けられている。
こうした疲労や信頼の問題に加えて、ユーザー体験の悪さも、セキュリティワークフローの使用を妨げる大きな要因となる。使いやすさと親しみやすさを優先しないセキュリティツールは、それらを優先するツールよりもエンドユーザーからの抵抗に遭う可能性がはるかに高い。
フィッシング3.0時代において、エンドユーザーの関与は不可欠
従業員が「報告」ボタンをクリックしないと、セキュリティスタックは最も価値のある資産である人間の文脈を失う。AIとディープフェイクが前例のないスピードと規模で高度に洗練された攻撃を作成するために使用される今日のAI主導の脅威環境において、その人間的要素は組織のセキュリティに絶対に不可欠である。
関与の欠如は、以下を含む多くの問題につながる:
技術的コントロールの効果低下:ユーザーが脅威を報告せず、セキュリティツールに関与しない場合、そのツールは学習して改善することができない。一部の研究では、SOCアラートの最大78%が誤検知であることが示唆されており、これによりツールへの信頼がさらに損なわれ、関与が低下する。これはセキュリティ環境において最悪の種類のフィードバックループを生み出す。
インテリジェンスのギャップ:市場に出回るほぼすべてのセキュリティツールは、クラウドソーシングされた脅威インテリジェンスに依存している。脅威を報告しないことは盲点につながる。さらに、AI時代では、クラウドソーシングされたインテリジェンスは機械学習モデルに供給されるため、関与がますます不可欠になっている。
財務とコンプライアンスのリスク:誤検知に溺れている(またはセキュリティから完全に離脱している)場合、実際の脅威への対応が低下し、罰金の増加、コンプライアンスリスク、評判の損害につながる。FBIの2024年インターネット犯罪苦情センター(IC3)レポートによると、サイバー犯罪による損失は記録的な166億ドルに急増した。そのうち、サイバー犯罪による詐欺は全損失の約83%を占めている。
バーンアウトと離職:優秀なサイバーセキュリティ人材を見つけて維持することは、すでに困難である。アラート疲れは、業界の拡大する人材ギャップの既に深刻な影響をさらに悪化させる。
ユーザーの抵抗感を解消する3つの方法
ユーザーの無関心と不作為を減らすために取れる手順がある:
1. 摩擦のないセキュリティインターフェースを採用または設計する。
従業員がセキュリティツールに関与しやすくすればするほど、効果は高まる。ワンクリック報告、自動確認、シンプルなポジティブフィードバック(例:「ありがとうメッセージ」、報告プロセスを「ゲーム化」するスコアリングシステムなど)を可能にするツールを採用して、良い習慣を強化しよう。また、情報を段階的に発見可能にする。従業員がより多くの文脈を知りたい場合は、必要としない情報で圧倒するのではなく、もっと学ぶことを選択できるようにしよう。
2. 現代的で楽しく効果的なSATとPSTプログラムに投資する。
セキュリティ意識トレーニング(SAT)とフィッシングシミュレーションテスト(PST)は、長い間、効果的な組織のサイバーセキュリティの基盤となってきた。しかし、従来のソリューションは退屈であることが多く、今日の絶えず進化する脅威環境に追いつくことができない。現代的なAI駆動のトレーニングとテストソリューションは、実際の脅威インテリジェンスを使用してコンテンツを提供し、SOCチームが最小限の手動作業でテストとトレーニングを生成することさえ可能にする。コンテンツを新鮮で動的で魅力的に保つことで、組織は従業員が実際にSATとPSTを楽しむ文化を作り出すことができる。特にポジティブな強化、ゲーム化などを取り入れた場合はなおさらである。
3. AIの力を大いに活用する。
フィッシング3.0の時代において、組織は火をもって火と戦わなければならない。今日の脅威の量、種類、洗練度は、最も警戒心の高いSOCチームでさえ追いつくことを困難にしている—そして既に負担を感じている管理者にとって、その課題はさらに大きい。AI駆動のフィルタリングは、負担を感じている61%の管理者のストレスを軽減する戦術の一つであり、遭遇する誤検知の数を劇的に減少させる。同時に、AI駆動のセキュリティツールは、チャットボットやNLPなどの機能を提供し、ユーザーをガイドし、メッセージがフラグ付けされる理由についての文脈を提供し、報告プロセスを簡素化する。適切な量の自動化により、エンドユーザー(および管理者)の仕事が容易になり、自律的な修復などの機能も可能になる。
抵抗感からレジリエンスへ:現代の脅威に対して共に取り組む
セキュリティの最終段階は技術的なものではなく、心理的なものである。摩擦を取り除き、AIに重労働を処理させ、現代的なSAT/PSTに投資することで、リーダーは抵抗感のあるユーザーを積極的な見張り役に変える。その結果は単に悪意のあるリンクへのクリック数が減るだけでなく、AI時代に適した人間と機械のセキュリティパートナーシップが自己強化されることである。
