攻撃は機密性から、完全性、可用性の侵害に変化している
企業が頭を悩ませているセキュリティの問題として「標的型メール攻撃」があります。
標的型メール攻撃も社内の情報を盗むようなものから、それぞれのPCのファイルを暗号化して使えないようにするランサムウェアのようなもの、さらにはPCのマスターブートレコード(PCの起動時、最初に読み込まれるHDD上の部分)に感染して、OSを起動させないというものまで出てきました。
このようにさまざまな手法で攻撃者が機密性だけではなく、完全性や可用性にまで侵害の幅を広げてきた時に、「情報漏えい対策」しかしてこなかった企業では対策がどんどん遅れているというのも現実です。
完全性対策、可用性対策として、バックアップをこまめに取っていた企業とそうでない企業では被害の状況が大きく変化しているのです。秘密の暴露という精神的な部分への攻撃から、ITを使えないというビジネスにより大きな影響が出る方向に、それも企業システムではなく、個別のPCなどへとターゲットが変わってきています。
攻撃手法は変わらなくても、目的が変化することによって影響は大きく変化し、思いもかけなかった被害を受けることになるのです。しかし、攻撃の目的が変わるたびに従業員に新しい教育をし、人に頼ったセキュリティを実行しようとしても限界があります。人はミスをするものだという前提で対策ができていなければ、セキュリティ対策の費用対効果を得ることはできません。結局、攻撃が成功した時の徒労感のみが残る結果になりかねないのです。
まずは標的型メール攻撃対策から見直そう
標的型メール攻撃対策として一般的に実施されているのが「メールの見分け方」です。怪しいメールを開かないということを従業員に徹底して、事故の確率を下げようという戦略に基づいた対策です。
残念ながら、この対策は思ったほどの効果はありません。何もしないよりは格段にマシなことはわかっていますが、根本的な解決になっていないのです。失敗が多いことだけを言っているのではありません。これによって、仕事の効率が損なわれる可能性が大きいことを言っています。いちいちメールを開く前になにかの確認をしてということであれば、メールでのやりとりが面倒になってしまいます。つまり、便利なサービスを使わないという方向になってしまうのです。
ところで、標的型メールとは何でしょうか。
図1:標的型メールはスパムメールのごく一部
標的型メールとは、図1で示したように、多くのメールの中にあるスパムメールの中のごく一部です。このごく一部のメールに対して多くの予算と労力をかけているのです。これだけでも十分に費用対効果が望めないといいうのはわかりますが、さらに対策の確実性が低いとなれば、よい対策でないということがわかります。
そこで視点を変えて、標的型メールに対応するのではなく、標的型メールをなくそうという視点に立ってみてはいかがでしょうか。標的型メールがなくなれば、作業効率も上がりますし、何しろ攻撃される可能性もなくなります。対症療法ではなく、もう一歩引いた視点で考えるのです。