標的型メールは見抜くことが難しい。は誤りです

標的型攻撃やマルウェアの認知度は5割以下!そりゃ被害も増えますわ!

[セキュリティ対策に効くクスリ, 標的型攻撃メールを知る]

標的型攻撃って何ですか?情報処理推進機構(IPA)が行った、2014年度の「情報セキュリティの脅威に対する意識調査」

この調査結果によると、「標的型攻撃」について全く知らないと回答した人は全体の5割以上、名前だけは知っていると回答をした人は25%以上で、両方を合計すると、標的型攻撃がどんなものかを知っている人というのは、2割くらいしかない。という結果となっていました。

参照資料(PDF)⇒2014年度「情報セキュリティの脅威に対する意識調査」

「標的型攻撃」について、しっかりとした知識を持っていない人が8割もいるということは、ほとんどの企業には「標的型攻撃」について理解していない人が少なからず存在する。ということ。

このような状況では、標的型メールが送られて来れば、引っかかってしまう人がいたとしてもおかしくはないでしょう。実際、それを証明するかのように、有名な企業・団体において、標的型メールの被害に遭ってしまったという報告が未だにマスコミに取り上げられ続けています。

標的型攻撃なんてものがあるんですねぇ。と他人事の会話をする社長

以前、ある企業の社長さんに標的型攻撃について説明をする機会があったのですが、その時のその社長さんの反応は、「そんなものがあるんですねぇ」と、完全に他人事の反応でした。

実際に被害に遭ったという経験がないし、標的型攻撃を目にしたこともないので、自社とどう関係するのかについて、全く想像がつかなかったのでしょうね。

実感が湧かないものに人はリアリティを感じない。というのは致し方ないことですが、これが現実であり、自社がしっかり対策をしていたとしても、取引先などは全く対策ができていない。ということは十分にあり得ることです。

件の社長さんは、自社ではセキュリティソフトをインストールしていると仰っていましたが、やっている対策といえばそれくらいで、それ以外の対策は恐らく今もってやってはいないでしょう。こうした会社が標的型攻撃にやられて、周りに被害を与えないことを祈るばかりです。

自社ではきちんと対策していればいいってことでもない

セキュリティ対策というと、自社ではどうするか?ということに目が行きがちですが、自社でいくら対策していたとしても、取引先や、自社の社員の家族など、自社の周りがセキュリティ面で穴だらけだったら、そこからウィルスが持ち込まれたりする可能性は十分考えられます。

標的型メールには気を付けていても、取引先などからやってくるUSBやメールにマルウェアが含まれていたら、そこから侵入されて被害に遭うということはありえますし、実際、そうした被害が未だに発生し続けています。

自社では対策をしているから大丈夫。と思っていると、思わぬところで足をすくわれることになるかもしれません。

自社だけでなく、自社を取り巻く周囲にも発信をしよう

あなたの会社では、取引先のセキュリティ対策の状況について把握するということをされているでしょうか?また、顧客に対し、自社におけるセキュリティ対策の取り組みについて、積極的に情報開示をしているでしょうか?

ルールとしては決めていても、実態を確認するということまではしていない。とか、お客様から要求されない限りは、自社のセキュリティ対策の状況について開示するといったことはしていない。というところは多いと思います。

普段からセキュリティについて意識をして仕事をしており、メール一つ送るにも、常にセキュリティを意識しているという方は少なからずいらっしゃると思いますが、全社員がそのような高い意識で常に業務に取り組んでいる会社がどれくらいあるか?となると、標的型メールについて理解している人が2割くらいしかいないという調査結果を考えれば、かなり少なくなってしまうのが実際でしょう。

セキュリティ意識が低い方は、情報や経験の持ち合わせがない故に、セキュリティの問題を想像できないし、気が付くこともできません。

そのような状況にある人々に、自分自身でセキュリティに関する情報を収集し、対策をし、意識を高く持つよう求めても、それは無理なことです。

であれば、どうするか?と言えば、やはり、セキュリティ意識の高い方が、身近な周りに対してセキュリティに関する正しい情報を発信し、意識を変えてもらうよう働きかけていくしかありません。

当たり前のことにしてしまえば、それは当たり前になる

第三者から言われても、実感が湧かずに「ふ~ん」としか思えないことも、身近な人から言われれば、実感が湧いて「自分もやらなきゃ」と思ったりするものです。

また、人の習性として、自分にとっては興味がないことでも、周りのみんなが当たり前のように口にすることであれば、実感が湧くかどうかに関係なく、自分がそれを知らないこと・やっていないこと自体がマズイと感じるものです。

あなたが「当たり前の事」として、普段からセキュリティに関することを口にし続ければ、あなたの周りに居る人にとっては、それは「当たり前の事」になっていきます。そして、あなたの周りに居る人が、あなたが「当たり前の事」として口にしていることを「当たり前の事」のように口にし出せば、その周りに居る人にとっても「当たり前の事」になっていきます。

こうして周囲にどんどん広がっていけば、もはやそれは特別なことでも何でもなく、ごく普通の「当たり前の事」になっていくものです。あなたの会社の中でも、見回してみれば、いつの間にか当たり前になっている。という会社の習慣が幾つもあるのではないでしょうか?

会社のセキュリティ意識を高めたい、セキュリティ対策を当たり前のものにしたい。と考えるなら、それを「当たり前の事」として社内に根付かせることが何よりも必要です。そして、それはある日突然に社内に宣言してそうなるものではなく、普段からそのように意識するよう、発信をし続けることによって成し遂げられるものです。

気が付いたら、「当たり前の事」になっているようにするために。私たちは、自分たちの対策を進めるのみならず、対策を進めるために周囲に情報を発信し続けることをすべきだと思うのです。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!