生成AIやLLMにより高度化するフィッシング、どう対抗するか 第3回 「礼儀正しく、疑い深い」組織を育成し、AI時代のフィッシングに備える

普通ではない要求を疑うことを当たり前のことと認識して、リスクの状況を理解し、直感を磨き続ける必要がある。企業で働くほとんどの人は、サイバーリスクやITに精通しているわけではないし、そのようなスキルのために雇われたわけでもない。しかし、個人の生活でも職場の生活でも、現代のデジタル社会でITがどのように機能するか、誰もが基本的な理解を持つ必要がある。

これは、メールを含むデジタルプロセスによってもたらされるビジネスリスクも把握しておく必要があることを意味する。まず「普通」の状態を理解し、「普通ではない」ことに気づけるようにする。これにより、リンクをクリックしたり、送金したり、多要素認証を承認したりする前に、十分な疑いを持つことができるようになる。

そのためにはトレーニングが重要であるが、例えば年に一度の2時間の講習は従業員にとって苦痛でしかないと記憶されるだろう。効果的なトレーニングはシンプルかつ継続的で、興味深いものであるべきだ。また、即座に適用可能で、楽しいトレーニング・モジュールと、ユーザーをテストするための模擬フィッシング攻撃から構成されるべきであり、もしユーザーがフィッシングメールをクリックした場合は、追加トレーニングを行うべきである。

トレーニングには当然ながら、経営層も参加すべきである。経営層が基本を理解し、安全なプロセスを理解し伝えれば、従業員もそれにならう。そして、トレーニングには、負荷の少ない形でセキュリティ意識を向上できるサービスを活用すべきといえる。

結論

AI時代のサイバーセキュリティの脅威に対処するには、多面的なアプローチが必要不可欠となる。サイバー犯罪者はAIツールを活用し、従業員に悪意のあるリンクをクリックさせたり、機密情報を開示させたりする巧妙なフィッシング攻撃を仕掛けている。

セキュリティ・ソリューションの導入は極めて重要であるが、それだけでは不十分であることを認識すべきである。リスクを理解し、サイバー脅威に強い企業文化を構築するためには、全従業員を巻き込み、フィッシング・シミュレーションや定期的なトレーニングを組み合わせて、組織のセキュリティ体制を真に向上させることが必要である。

著者プロフィール

伊藤 利昭（イトウ トシアキ）　Vade Japan株式会社 カントリーマネージャー

2020年1月に就任。責任者として、日本国内におけるVadeのビジネスを推進する。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と新たに企業向けのメールセキュリティを展開するに当たり、日本国内のパートナーネットワークの構築に注力している。
（）