標的型メールは見抜くことが難しい。は誤りです

専門家じゃないからわかりません。を暗黙の言い訳にしていませんか?

[セキュリティ教育]

標的型攻撃メールによる被害かどうかはわかりませんが、日本年金機構は1日、職員がウイルスの組み込まれた電子メールの添付ファイルを誤って開封したことが原因と思われる不正アクセスによって、個人情報約125万件が外部に流出したとみられると発表しました。

発表によると、ウィルスを確認したのが5月8日であったにもかかわらず、18日までに複数の職員の端末の感染が確認された。ということですから、職員が適切な対応を取っていたのかどうか非常に疑問が残るところですが、125万件の個人情報が流出という事ですから、組織としてはタダでは済まないのは確実でしょう。

同じようなことは何度も起きているのに何故学習しないのか?

日本年金機構に限らず、個人情報の流出事故はこれまでに何度となく発生しており、その度に新聞紙上などを賑わしてきました。

いい加減学習しようよ。

と言われてもおかしくないほどに、同じような事故がこれまで何度も起きているわけですが、それでもこうした事故が繰り返し起きてしまうのは何故でしょうか?

専門家でなければ、知らなくていいの?

セキュリティ対策というと、何やら難しいこと。というイメージから、専門家でなければわからない。というのが一般的な認識であるかと思います。

実際、セキュリティ対策とは無関係の方と話をすると、「たぶん何か対策してると思いますよ」と、どこか他人事のような発言を聞くことが良くあります。

また、「いやあ、自分は専門じゃないので~。アハハ・・・」といったような会話も、まあ、ありがちだったりします。

専門じゃないのは当然、致し方ないにしても、専門じゃないからといって、

何も知らなくていい。
誰かに任せておけばいい。

ということでもないと思います。ましてや、個人情報流出などということになれば、組織の屋台骨すら揺るがしかねない話です。ベネッセコーポレーションのケースでは200億円以上を失う事態となったことは、まだ記憶に新しいことのはずです。

他人事でいるのは何も従業員ばかりではない

一般の職員が、自分は専門家ではないから。といって、どこか他人事でいるというのは、ままありがちですが、一般の職員のみならず、セキュリティ対策をしなければならない担当者や、事故が起こった時に真っ先に矢面に立たされることになる経営者自身が無関心だったりする。ということもあります。

セキュリティ対策を率先してやらなければならないはずの担当者や経営者が、セキュリティに関する知識に乏しく、あまり勉強もしていない。というケースも、実のところ意外に多いものです。

「業者にすべて任せてあるから」というのが、彼らの言い分だったりしますが、本当にそれでいいのでしょうか?

もちろん、難しい部分や面倒な部分は専門家に任せる。というのは、判断として間違っていないと思います。しかし、だからといって、自分は何も知らなくていい。ということにはならないはずです。

業者にすべて任せてあるから問題ない。と豪語する経営者自身が、標的型メールをあっさり開いてしまい、ウィルスに感染しているのに全く気付かない。などというのは、あまりに滑稽すぎて笑い話にもなりません。

専門家じゃないから、セキュリティについてわからなくてもいい。は間違い。

セキュリティ事故(インシデント)は、信用の失墜や財産の喪失など、組織の存続自体を揺るがしかねないほどの大きな問題に直結する可能性のある事態です。

もしかしたら、今の自分の職が来月には無くなってしまうかもしれない。

そんなことになってしまうかもしれないとしても、「たぶん何か対策してると思いますよ」と、他人事のままで居られるでしょうか?

職場で火事が起きたら、自分は火を消すのは専門じゃないから専門家に任せるよ。などと悠長なことは言わないはずです。専門家であろうとなかろうと、火事が起きれば必死になって延焼を食い止める。これが当たり前の感覚だと思います。

セキュリティ対策もこれと同じではないでしょうか?

専門家ではないから、自分は知らなくていい、わからなくてもいい、全て専門家に任せておけばいい。

そう言っていれば、勉強も何もしなくていいので楽ですが、それで本当にいいのでしょうか?

専門家にならないまでも、火事が起きたら火を消すのと同じように、いつ、セキュリティ事故が起きても対処できる程度の知識や備えは、従業員の誰もが身に着けておく。

面倒なことではあるかもしれませんが、ある日突然、会社が無くなってしまい、新たな職探しをしなければならなくなったり、お客様からのクレームの嵐に耐え忍ばなければならないなどという事態を想像すれば、情報セキュリティについて学んだり、対処方法について日頃から話し合ったりすることなどは、なんていう程の事もないはず。

転ばぬ先の杖は、常に地面に突いていてこそ。

日本年金機構の事故を対岸の火事とせず、これを機会と捉えて、我が身に置き換えて考えるべきが、取るべきアクションではないでしょうか?

ついでに言えば・・・

日本年金機構が「標的型メール訓練」をしっかりやっていたら、今回のような事故が果たして起きただろうか?と考えると、興味深いものはあります。

最近の標的型メールは作りが巧妙だから、訓練なんてやったって引っかかる人は引っかかる。なんて言う方もいますが、そもそも、工夫に工夫を重ねて訓練をしっかりやっている。という組織が一体どれほどあるでしょうか?

作りが巧妙ゆえに、引っかかる人がいる。というのは事実としても、だからと言って、訓練なんてやっても意味がないとして、何もやらないでいることもまた、「専門家じゃないから、わからなくていい」というキーワードを、何もしないでいることに対する免罪符としてしまっているように思えてなりません。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!