ESETは11月22日(米国時間)、「Security fatigue is real: Here’s how to overcome it|WeLiveSecurity」において、企業の従業員の「セキュリティ疲労(Security Fatigue)」について伝えた。セキュリティに関する警告、ポリシーの規則や手順、空き時間に侵害や脅威に関するメディアの記事に圧倒されていると感じると、極度の疲弊した状態に陥ることがあると指摘されている。

  • Security fatigue is real: Here’s how to overcome it|WeLiveSecurity

    Security fatigue is real: Here’s how to overcome it|WeLiveSecurity

従業員は、企業のセキュリティにおいて最も脆弱な部分と考えられている。そのため、ITセキュリティ部門は過失となる可能性のある内部関係者のサイバーリスクを軽減することに熱心に取り組むことになる。しかしながら、負担が大きくなりすぎると、従業員は予期せぬ行動を取る可能性があり、組織内のサイバーリスクが増大することになると説明されている。

セキュリティ疲労は、従業員が無力感や制御不能感を感じることが特徴とされている。従業員がセキュリティ疲労に陥いると、最悪の場合、無謀で衝動的な行動を起こすことがあり、ITチームが望むものとは正反対な結果となる可能性があるという。

セキュリティ疲労のリスクを軽減するために、経営層や上司が再検討するべき項目として、以下が紹介されている。

  • セキュリティを強要することでワークフローに影響を与え生産性の低下につながることを理解する
  • 従業員のニーズとサイバーリスクを最小化する必要性とのバランスが取れたポリシーを設計する
  • ソフトウェアの自動パッチ適用やノートパソコンやデバイスの管理などを自動化し、ユーザーが行うべきセキュリティ上の意思決定の回数を少なくする
  • パスワード管理ツールや生体認証ベースの二要素認証(2FA: Two-Factor Authentication)を導入し、労力を最小限に抑えながらログインのセキュリティを強化する
  • 従業員に送るセキュリティ関連のメッセージの数を少なくする
  • セキュリティ意識の向上に関するトレーニングは、短いセッション(10~15分)にし、より楽しいものにして行動を変化させる

セキュリティ対策が効果的に機能するために、従業員一人一人が組織の安全を守るために果たすべき重要な役割を理解し、積極的に役割を果たそうとする文化を醸成させていく必要があるという。そのため、従業員にセキュリティ疲労を与えず、取り組んでいくことが望まれている。