具体的には、インタビュー回答者の 68% が、クラウド アプリケーションとデータがマルウェア、ランサムウェア、およびフィッシング攻撃の対象になることを心配しています。 55% はクラウド セキュリティが適切に構成されていると確信していませんが、59% はクラウドを保護するための適切な制御プロセスとポリシーがあると考えています。 回答者の約 3 人に 1 人が、サイバーセキュリティについて従業員を適切にトレーニングするのは難しいと答えています。
攻撃を受けるエンドユーザー
MIT Sloan (CAMS) の MIT 研究コンソーシアム Cybersecurity のエグゼクティブ ディレクターである Keri Pearlson は、あらゆる IT セキュリティ戦略における最も弱いリンクは常に人であると述べています。 CAMS は、サイバースフィアにおける組織、管理、および戦略上の問題を研究します。 「間違った電子メールや間違ったリンクをクリックしたり、間違ったプログラムをインストールしてシステムが感染するのは、たった 1 人で済みます。 従来の意味でのエンド ユーザーだけではなく、システムと対話するすべての人々です。 システムとやり取りするすべての人が潜在的な脆弱性ポイントになる可能性があります」とパールソン氏は言います。
通常、システム セキュリティ対策の 99% 以上は IT によってバックエンドで処理されますが、ユーザーが責任を負うセキュリティ脅威のごく一部が、20 件のサイバー攻撃のうちほぼ 19 件を占めている、と Salvi 氏は言います。
「それらはすべて、フィッシング メールから始まります」と Salvi 氏は言います。 「彼らはロックを解除するのではなく、鍵を取得しようとしています。」 フィッシングの試みの中には、用心深いユーザーでさえ、人事部や経営幹部からの緊急のメッセージになりすまして騙すものがあります。 Covid のロックダウンにより、エンド ユーザーはより多くの損害を被る立場になり、セキュリティ戦略は迅速に適応されました。
従来のエンドユーザー セキュリティ モデルとは対照的に、ゼロトラスト環境へのユーザーの最初のサインイン (指紋、顔スキャン、または多要素認証によって確認されたものであっても) は、監視の終わりではありません。 侵入すると、ゼロトラストはユーザーがサイバーデイを行っているときに慎重にフォローし、悪意のあることをしていないことを確認し、ハッカーへの扉を開くリンクを誤ってクリックしていないことを確認します. ときどき再認証を要求される場合を除いて、ゼロトラストがあなたを信頼できないと判断し、行きたい場所からあなたを締め出さない限り、ユーザーはゼロトラストに気付かないでしょう。
「セキュリティが機能するために正しいことを行うために、ユーザーに依存する必要はありません」と Salvi 氏は言います。 「複雑なパスワードを覚えたり、3 か月ごとに変更したり、ダウンロードするものに注意したりする必要はありません。」
このコンテンツは、MIT Technology Review のカスタム コンテンツ部門である Insights によって作成されました。 これは MIT Technology Review の編集スタッフによって書かれたものではありません。