標的型メールにやられた！そんな時はどうすればいいのか？

日本年金機構の情報漏えいの一件で、改めて標的型メールに注目が集まっているようですが、翔泳社が運営するEnterpriseZine（EZ）に、お奨めしたい記事が掲載されていたのでご紹介します。

年金情報漏えい報道から、いくつかの考察―その時、どうすればよかったのか？

不幸にして、標的型メールにやられた！と気づいたらどうすればいいか？あなたはパッと思い浮かぶでしょうか？

「すぐにパソコンのウィルスチェックでしょ！」と考えるのは最悪。最もやっちゃあいけないことなんですが、あなたの会社の従業員の方々には、そのような知識があるでしょうか？

万一、標的型メールにやられたら、後がとっても大変

標的型メールに限らず、サイバー攻撃の被害に遭ったとわかったら、すぐにでもやらなければならないのは、

「被害の拡大を防ぐ」

ということ。

でも、一口に被害の拡大を防ぐといっても、サイバー攻撃は目に見えないだけに、具体的に何をどうすればいいか？というのは、そう簡単に判断が付くものではありません。

冒頭でご紹介しているEnterpriseZine（EZ）の記事を読んでいただければ、被害の拡大を防ぐことがどれだけ大変なことかわかるかと思いますが、かかる手間もさることながら、かかる費用も決して安くはないのが実際です。

そんな災厄が急に降って湧いて、しかも、逃れることなどできない。としたら、それはもう、言葉通り、泣きっ面に蜂です。会社のセキュリティを担当する方は、このことをよくよく頭に刻み込んでおく必要があります。

起きてしまったら、本当にもう、後が大変なのです。

そんな大変な事になるのに、従業員に知識が無い！なんていいんですか？

標的型メールを受信するのは、セキュリティ技術者ではなく、一般の従業員です。

つまり、標的型メールにやられた！と一番最初に気づくのは、一般の従業員である可能性が高い。ということです。

ということは、標的型メールによる被害への対処について、初動を起こさなければいけないのは一般の従業員ということになるわけですが、この従業員に、セキュリティに関する知識が全くなかったら一体どうなるでしょうか？

間違った対処をして、被害を拡大させてしまうことに繋がってしまったり、最悪は情報がダダ漏れ状態になるのを長期間放置してしまうということにすらなってしまうかもしれません。

あなたがセキュリティ担当者や経営者だったら、そのようなことを見過ごせるでしょうか？

万一、事故が起きたら大変なことになるのに、知識が乏しい従業員に、「初動」という最も大事な部分を任せてしまうのは、自ら組織を危険に晒すようなものではないでしょうか？

見破れないなら、訓練なんてやったってしょうがないのでしょうか？

標的型メールは巧妙に作られているので、セキュリティの専門家ではない従業員がそれを見破るのは難しい。だから、標的型メールによる被害を100％防ぐことは無理である。

ということで、被害を完全には防げないなら訓練なんてやったってしょうがない。とか、従業員はセキュリティを気にせずに業務に集中できるようにすべき。といった理由で、従業員に対するセキュリティ教育よりも、多層防御などのシステム対策に力を入れるべき。という考え方があります。

このような考え方にも一理はありますが、こと情報セキュリティに関しては、攻撃を仕掛ける側が断然有利という状況では、システムだけでは防ぎきれるものではない。ということ、また、実際に事故が起きた時に対処のトリガーを引くべき人物は「従業員」となる可能性があることを考えれば、従業員は何も気にせず、業務にだけ集中していればいい。というわけにもいかないでしょう。

従業員が標的型メールを100％見破るのは難しい、
されど、システムで完全に防御することもまた難しい。

となれば、あとはもう、なるように任せるしかないじゃないか。となってしまいがちですが、万一、標的型メールにやられたら後が大変。ということを考えれば、標的型メールにやられてもしょうがない。と簡単に諦めてしまうわけにもいきません。

どれも100％完ぺきではない。なら、やれることはすべてやる。しかないのではないでしょうか？

効果が100％でないならやらない。という考え方ではなく、100％でなくても、少なからず効果があることなら全てをやっておく。それも、今すぐにでもできることなら尚更。という考え方に立って行動する。謂わば、

三人寄れば文殊の知恵、And、三本の矢作戦。

標的型メールに対抗するために、私たちはこのような考え方に立ち、従業員も含めた組織全体で防御に努めることこそが、今のあるべき姿。なのではないでしょうか。