Netskopeの調査研究部門であり、クラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、最新版の『クラウドと脅威レポート』に基づく新たな調査結果を発表した。
同調査では、フィッシング攻撃の流行と手口の巧妙化により、2024年、従業員がフィッシング詐欺のリンクをクリックした回数は前年の約3倍に増加していることが明らかに。個人向けクラウドアプリの継続的な使用と、職場における生成AIツールの相次ぐ導入に関連したセキュリティリスクの増大についても明らかにしており、そうしたリスクに対応するためのデータセキュリティ対策が不可欠であることを示しているとのことだ。
フィッシング攻撃の成功率が3倍に
多くの組織が、従業員向けのセキュリティ意識向上トレーニングを実施しており、フィッシング対策に重点を置いて繰り返し指導しているにもかかわらず、2024年に従業員がフィッシング詐欺のリンクなどをクリックした割合は前年の約3倍に達したという。毎月1,000人当たり8人以上の従業員がフィッシングリンクをクリックしており、フィッシング被害に遭った従業員数が1,000人当たり3人を下回っていた2023年と比べ、増加率は190%に上っているとのことだ。
攻撃者が悪意あるペイロードをどこにホストするかも、ソーシャルエンジニアリングの重要な要素だという。攻撃者は、ユーザーが普段から信頼しているGitHub、Microsoft OneDrive、Google Driveなどの一般的なクラウドアプリ上に、悪意あるコンテンツをホストしたいと考えている。2024年、一般的なクラウドアプリから悪意あるコンテンツがダウンロードされる被害は、88%の組織で月に1回以上発生したという。
2024年にユーザーがクリックしたフィッシングキャンペーンの標的の中で、トップに立ったのはクラウドアプリケーションであり、フィッシングにおけるクリック全体の4分の1超(27%)を占めたという。クラウドアプリの中では、Microsoft LiveとMicrosoft 365の認証情報を狙った攻撃が全体の42%を占め、Microsoftが圧倒的な標的になっているとのことだ。
個人向けアプリがデータ管理の課題に
企業ではあらゆる場所に個人向けのクラウドアプリが存在し、従業員が故意あるいは無意識にこれらのアプリを使用して機密情報の処理や保存を行う環境が生まれているという。これにより、組織はデータを適切に管理できなくなり、データ漏えいの可能性が生じているとのことだ。ユーザーがデータを送信する主な個人向けアプリには、クラウドストレージ、ウェブメール、生成AI、ソーシャルメディア、個人用のカレンダーアプリなどがあるとしている。
2024年、従業員全体の88%が個人向けのクラウドアプリを毎月利用しており、4人に1人以上(26%)のユーザーが個人向けアプリにデータをアップロードや投稿するか、その他の方法で送信しているという。大多数の組織にとって、個人向けアプリからの機密データの流出は最大の懸念事項であり、データポリシー違反の中で最も多かったのは規制データに関する違反(60%)で、個人、金融、ヘルスケアのデータなどが個人向けアプリにアップロードされていたとのことだ。ポリシー違反に関連するデータの種類としては、上記の他に、知的財産(16%)、ソースコード(13%)、パスワードおよびパスキー(11%)、暗号化されたデータ(1%)などがあったという。
成長傾向が続く生成AI
2023年に職場に急速に広まった生成AIは、組織とユーザーの両方で採用が進み、使用される生成AIアプリの全体数は2024年も一貫して増加の一途をたどった。具体的には以下のとおり。
- 生成AIアプリを使用している企業は、2023年の81%から2024年には94%まで増加。最も多く使用されている生成AIアプリは依然ChatGPTで、84%の組織で使用されている
- 従業員の生成AIアプリ利用率は組織の全体の2.6%だったが、2024年には7.8%と3倍に増加。小売およびテクノロジー業界では、全従業員のうち毎月生成AIアプリを使用する人数は平均13%以上となり、すべての業界の中で最も高い割合を示している
- 組織は現在、平均9.6個の生成AIアプリを使用しており、これは前年の7.6個から増加している。現在、上位25%の組織では少なくとも24個の生成AIアプリを使用しているのに対し、下位25%の組織では生成AIアプリの使用は最大4個にとどまっている
生成AIにおけるデータリスク管理
2024年、生成AIアプリは企業の主要ツールとしての地位を確実なものとしてきたが(現在94%の組織が使用)、一方で多くの組織が、生成AIの安全な利用と生成AIアプリがもたらすデータリスク軽減のための管理体制を実現する上で、初期段階にいることが明らかになっているという。
- 45%の組織がDLPを使用して、生成AIアプリへのデータの流入を制御している。生成AIに向けたDLPの採用率は業界によって大きく異なり、最も割合が高いのは電気通信業界の64%
- 34%の組織が、使用者が適切な情報に基づいた意思決定を行えるよう、リアルタイムの対話型ユーザーコーチングを利用している
- 企業のポリシー違反の可能性に関する警告が表示された場合、73%のユーザーは、提供されたコーチング情報に基づいて行動していない
- 73%の組織は、少なくとも1つの生成AIアプリをブロックしており、全体では前年と同じく平均2.4個の生成AIアプリがブロックされている
- 生成AIアプリをブロックしている組織の上位25%によるブロック数は14.6個となり、前年の6.3個から過去1年間で2倍以上の増加
組織に対する推奨事項
Netskopeは組織に対して、システム環境を保護するために以下の対策を推奨している。
- ユーザーは、電子メール、ソーシャルメディア、検索エンジンの広告、そしてウェブ全体からフィッシングリンクの攻撃を受けている。また、生成AIの登場により、攻撃者はより巧妙なフィッシングコンテンツを容易に作成できるようになった。このような状況では、フィッシング対策としてユーザー教育だけに頼るのは不十分であり、最新のデータ保護技術への投資と組み合わせて実施することが不可欠
- 従業員による個人アカウントを通じたファイルの共有、個人用バックアップへの機密情報の保存、退職時の個人向けアプリを使用したデータの持ち出しは、意図的か否かを問わず、今後も発生する可能性がある。このリスクに対応するため、組織は業務上必要なアプリのみに利用を制限し、新規アプリの導入における審査と承認のプロセスを整備する必要がある。加えて、アプリが悪用や侵害された場合にセキュリティ担当者に警告を発する継続的な監視プロセスの実装も不可欠
- 2025年、職場における生成AIの活用はさらに加速し、利用可能な生成AIアプリの数も増加を続ける。この状況に対応するため、組織は承認済みアプリケーションの用途を明確に定義し、適切な管理体制を構築する必要がある。具体的には、最新のデータセキュリティを用いた承認済みのアプリへのデータ移動を制御し、リアルタイムのコーチングを活用して人々が生成AIアプリを使用する際に十分な情報に基づいた意思決定を行えるよう支援し、承認されていないアプリをブロックするための制御を実装することが重要になる
【関連記事】
・ニトリ、約1万5000台のデバイス保護にNetskopeを採用 グローバルなセキュリティ基準統一へ
・Netskope、日本法人カントリーマネージャーに権田裕一氏が就任
・GitHubやOneDriveを介した攻撃多数──Netskope調査
