ZDNet Japan編集部がセキュリティのプロGSXに聞く! セキュリティの「最も弱い部分」を守りの「最後の砦」に変えるには?

今さら強調するまでもなく、標的型攻撃や不正アクセス、ランサムウェアなど、さまざまなセキュリティインシデントがわれわれを取り巻いている。こうした脅威から自社を守るべく、多くの企業が統合脅威管理(UTM)や次世代ファイアウォール(NGFW)、サンドボックスといったさまざまな機器を導入し、監視サービスに加入し、一つひとつセキュリティ対策に投資してきた。

それにもかかわらず、大半の企業では「本当にセキュリティ対策の効果は上がっているのだろうか?」という懸念が払拭できてないように思える。筆者の周りでも同様の声をよく聞くし、むしろ積極的に取り組んできた企業ほど、今までの対策のあり方に行き詰まりを感じているようだ。いったい何が欠けているのだろうか?

企業のセキュリティの底上げ、決め手は「従業員」

 ビジネスを脅かすセキュリティのリスクは、組織全体に関わる問題だ。これまでのセキュリティ対策は、主にシステム面で取り組みが中心であったが、そもそもセキュリティのレベルは最も弱い部分に強く影響されてしまう。そのひとつがエンドポイント(従業員)であり、攻撃者が従業員を攻撃できる環境であれば、従業員一人ひとりを底上げしなければならない。

 例えば、誰もが受ける可能性のある脅威の1つが、標的型攻撃メールだ。取引先などを装った内容のメールで受信者の心理を突き、添付ファイルを開かせて侵入を試みる標的型攻撃は、まさにそのギャップを突くものと言える。インシデントレスポンスの現場においては、攻撃を受けた当事者からマネジメント層、情報システム部門、総務、広報など多部門が関係する。その意味では全社でセキュリティ意識だけでなく、対処運用方法を徹底しておく必要がある。

船橋良輔氏
GSX 営業本部 第二営業部長の船橋良輔氏

  その対策として年々需要が高まっているのが、「標的型メール訓練」だ。実際の標的型攻撃のように、関係者を装った疑似攻撃メールを送りつけ、受け取った人が対処できるかどうかを確認する。GSX 営業本部 第二営業部長の船橋良輔氏は、「一番分かりやすいメリットは開封率の低減(感染リスクの低減)です。平均して一度目は40%程度がだまされて開封してしまいますが、何度か訓練を実施することで開封率は2〜3%程度にまで下がります」と述べている。

 さらに標的型メール訓練には、開封率の低減以外に大きな意義があるという。

 「人間が扱う以上、どんなに訓練しても開封率はゼロになりませんし、コンテンツ(送る攻撃メールの文面)を実業務に絡めて判断を難しくすると、それだけで開封率は跳ね上がります。このような詐欺的な手口は現実の攻撃でも複数確認されています。ある程度、訓練を通して「このような攻撃が現実にある(リスクがある)」という事や、また「一般的な見破るべきポイント」を全社に伝えることを当初の目的として訓練していきます。その次に、攻撃メールを【本当に開いてしまった】とき、【なにかおかしい】と感じた時に、速やかに決められた連絡先(情報システム部などの担当部署)へ連絡し、各社で定められた初動対応が取れるよう訓練することで、被害を最小限に抑えることができるようになります」(船橋氏)

 つまり、火事を見つけたときに火災報知器を鳴らして皆と速やかに逃げる火災訓練と同じように、不審なメールを開いてしまった際は隠すのではなく、初動の行動を訓練し、体に覚えさせることに意味がある。

 残念ながら、中には訓練でメールを開いてしまうと、メールの使用を数日間停止させるといったナンセンスな規則を設けていた企業もあったそうだ。「本人は一生懸命に業務をこなそうとしていてメールを開いてしまったわけですから、そんなルールがあると、本当に被害に遭ってしまった時に罰則を恐れて報告しなくなります。結局は、『企業の資産を守る』という本来の訓練目的とは逆効果になるだけです」と船橋氏は指摘する。

 また訓練体験を通じて、「こんな標的型攻撃メールが来る可能性がある」「取締役など偉い人も含め、誰もが開いてしまう可能性がある」ことに全社員が納得し、共通のコンセンサスが得られることも大きなメリットだという。

インフォメーション

提供:グローバルセキュリティエキスパート株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年10月16日