KnowBe4、2022年度版業界別フィッシングベンチマークレポートを公開 〜セキュリティ教育を受けていない約3人に1人がフィッシングリンクをクリック
- 2022/07/22 10:00
- SecurityInsight
KnowBe4は7月20日、2022年度版の業界別フィッシングベンチマーキング調査レポートを公開することを発表した。レポートでは、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するPPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)を、業界別のベンチマーキングとして統計分析している。その概要は以下のとおり。
ベースラインベンチマーキングにおいて、KnowBe4のトレーニング開始前に、これまでにセキュリティ意識向上トレーニングを実施したことがない企業や組織に対して現状把握を行ったところ、トレーニング前の全業種および全組織規模の平均PPPは32.4%で、従業員の約3人に1人がフィッシング攻撃の罠にはまる可能性があった。
個別の全世界平均値では、大規模組織は改善されているが、その一方で、ベースラインのPPPが50%を超える業種(電気・水道・ガスなどの公共インフラ、保険、コンサルティング)がある。
ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、全世界の平均PPPスコアは、32.4%から17.6%へとほぼ半減。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5%までに減少した。
日本を含むアジア太平洋地域の集計結果は、全世界平均よりもわずかに高いリスクが示され、アジア太平洋での全業種/全組織規模での平均では、全世界平均の32.4%よりも2.1ポイント高い、34.5%だった。特にアジア太平洋の大規模組織(従業員数1000人以上)では、このPPPスコアは36.7%となり、世界平均(35.2%)より1.5ポイント高い分析結果を示していた。
アジア太平洋のトレーニング90日後のPPPスコアでは、小規模組織および中規模組織では、それぞれ21.1%および19.2%と改善されているが、全世界平均(17.6%)と比べると改善幅は小さくなっている。
トレーニング開始1年後のPPPスコアでは、小規模組織では全世界平均の5%を上回り、4.4%に大幅に改善されているものの、中規模組織および大規模組織では全世界平均の改善幅を下回り、それぞれ6.2%および5.2%となっている。全組織規模平均では5.4%と、全世界平均の5%よりも微妙に改善幅が少ないものの、アジア太平洋地域でも大幅な改善が見られている。