システムで標的型メール攻撃の被害を軽減する
従業員に負担をかけないために、人間が判断せずにシステムで攻撃メールであるかどうかを判断するためにはどうしたら良いのでしょうか。
URLリンクについてはそのURLが適切なものであるかどうかをシステムで判断するのが良いでしょう。接続できるサイトを限定するといったホワイトリスト型の対策はその1例です。
ただし、ホワイトリスト型では事前にわかっているウェブサイトにしかアクセスできないために、業務によっては創造性の高い業務を行うことができないという弊害があります。
一方でアクセスできないウェブサイトを特定するというブラックリスト型というのもあります。比較的自由にアクセスができるものの、万が一のトラブルに対しては打つすべがなく、結果として効果は薄いということになってしまいます。
これらの課題を解決する策として注目されているのが、URLの事前判断機能です。メールの中のリンクを事前に精査し、その先にあるページが安全であるかどうかを実際にアクセスするなどして判断をするものです。ウイルスに感染するような危険がないアカウントや、他の権限を持っていないアカウントからアクセスするために、従業員がウイルスに感染してしまうようなことがありません。
MicrosoftのATP(Advanced Threat Protection)などのサービスはこれを利用した安全管理を行っています。従業員に負担をかけず、また危険があったときに情報を収集できるという意味で大きな効果を得られます。
最新の技術を活用し、セキュリティ対策の継続性を考える
このように、従来では非常に大きな負担となっていた対策も、コンピューティング環境の進化やクラウドサービスの発展などによって、現実的なコストで運用できるようになっています。
情報セキュリティ対策を選択する際に、技術的に選べなかったもの、コスト的に選べなかったものなどがあるとしたら、「最新の技術やサービスで実現できるのではないか」と見直すこともリスク管理の重要な活動です。
これはOSの変更などによる見直しも同様です。Windows XPから7または8に移行したときに、従来のセキュリティ対策を継続してくのは無駄が多いこともあります。OS依存の脆弱性の確認、OSに新規に搭載されたセキュリティ機能などを確認することを忘れないようにしましょう。
また、情報セキュリティ対策は継続的に実施することが重要です。対策を継続するために必要なのは「コストが安い」ことと「従業員の負担が少ない」ということです。どの程度の費用がかかっているのかだけではなく、従業員に負担がかかっていないかということを確認しましょう。
図2:良いマネジメントとダメなマネジメント
良いマネジメントとは、従業員に判断を任せずに、トップが判断することです。業務における判断は、すべて責任に転嫁します。難しいパスワードを付ける、パスワードを定期的に変更する、不審なメールは開かないなど、すべて従業員への負担でしかありません。これをシステムとしてどのように解消することができるか、それが情報セキュリティ担当者の腕の見せ所です。
新しい技術を取り入れて、セキュリティの負担を軽減するための方法を提案できるように情報を収集しましょう。
- 河野省二
- 株式会社ディアイティ クラウドセキュリティ研究所 所長 経済産業省 SaaS 利用者の観点からのセキュリティ要件検討会委員、情報セキュリティガバナンス委員会 ベンチマークWG委員など、 情報セキュリティ関連のさまざまな基準を策定した経験を持つ。
