標的型メール攻撃に対する訓練は有効か否か
そこで辻氏は、人は砦になるのか、それとも脆弱性なのかという疑問を呈する。人への攻撃手段と言えば標的型メールだ。いまだにビジネスコミュニケーションにとって切っても切れない手段であり続けているメールを利用して、攻撃者は添付ファイルやリンク、情報詐称や巧みな文章を駆使してマルウェアサイトへと誘導する。
標的型メール攻撃が手段である以上、対応訓練は可能だ。訓練によって怪しいメールが標的型攻撃であることに気づき、開封やURLのクリック率をある程度下げられるかもしれない。しかし、辻氏はこうした訓練にはあまり効果を感じていないという。
開封率を下げる訓練の場合、開封率が1%の組織と10%の組織では一般的には1%の組織の方がセキュリティレベルは高いと思われている。
しかし、10%が一般社員で1%が役員やシステム管理者だった場合、1%の方がアクセスできる範囲と盗める情報の量、質は大きいはずだ。非開封率を増やしても、誰も開封しないというレベルにならない限り残存リスクはゼロにはならない。開封したのがわずか1人でも、それが役員クラスなら企業が吹き飛ぶ場合だってあるのだ。
「訓練はインシデントが起きないようにするためではなく、起きることを想定してするもの。メールを開いたか否かで一喜一憂しても意味はない。大切なのは、危険なメールを開いた時に迅速に何をすべきかの方法を身につけること。そうした訓練なら大変有意義なものになる」(辻氏)
独立行政法人情報処理推進機構(IPA)が2013年8月に公開した「『標的型メール攻撃』対策に向けたシステム設計ガイド」によると、攻撃のシナリオは、(1)計画立案段階、(2)攻撃準備段階、(3)初期潜入段階、(4)基盤構築段階、(5)内部侵入・調査段階、(6)目的遂行段階、(7)再侵入、と7つ存在し、それに応じた攻撃段階毎の攻撃達成目標を読み解きながら、総合的かつ多面的に目的遂行までの全体を調査分析することにより、攻撃の全体像を把握でき、それぞれに応じた対策が検討できると解説している。
標的型メール攻撃の攻撃シナリオ 出展:「標的型メール攻撃」対策に向けたシステム設計ガイド」(IPA技術本部 セキュリティセンター)
セキュリティは壁ではなくフィルターのようなもの
講演のまとめとして、辻氏は、「セキュリティは壁と思われているが、実はそうではない。セキュリティはできるだけ目的を達成されないようにするためのフィルターでしかなく、どうしても抜けるものは出てくる。そのため、侵入される確率を下げ、侵入されてもすぐに対応できるようにしておくものと考えるべきだ」と、セキュリティについての捉え方をアドバイスしている。
そして最後に、「リスクは絶対にゼロにはならない。だからリスクマネジメントという言葉がある。リスクや脅威や脆弱性とどう付き合っていくかを考える上で、それにどれだけ投資できるか、効果をどれだけ最大化できるかを、皆さんが守りたいものに注力していく必要がある」と辻氏は語っていた。
刻々と巧妙化するセキュリティの脅威やリスクについて、異なる視点から対策を考えるきっかけを作る内容だった。
