何故?セキュリティ対策をしっかりやっている組織が被害に遭うのか?
標的型メールによる被害に遭う組織は、セキュリティ対策を全くやっていなかったり、セキュリティに関する意識がザルと言われるような組織ばかりかというと、そうではありません。
セキュリティ対策にしっかり投資をしているような組織でさえ、標的型メールによる被害に遭い、謝罪会見を開いているケースは後を絶たず、実際、そういった事例をあなたも何度も目にしている事と思います。
どうしてこんなことになるのでしょうか?
誰もが口にする「そうとは思わなかった」
標的型メールの被害に遭ってしまった組織からの報告でよく目にするのは、
「標的型メールだとは気付かなかった」
「見慣れた内容だったので気づかなかった」
「まさか自分に送られてくるとは思わなかった」
といった類の言葉です。このような言葉から連想されることは、
自分には標的型メールなんてやって来ない。
という、無意識の思い込みです。
はなから、自分が受け取るメールに標的型メールが含まれているわけがないと思っているから、実際に標的型メールの被害に遭って、「気づかなかった」という言葉が出るのです。
普段から標的型メールが送られてくるかもしれないと本当に自覚している人は、被害に遭っても「気づかなかった」とは言いません。このような方達は、標的型メールであることを見抜けなかった自分を悔み、別の言葉を使います。
「気づかなかった」という言葉は、標的型メールが送られてくるかもしれないという意識に欠けている。という背景があるからこそ出る言葉だということを、私たちは認識すべきです。
組織の環境が無意識の思い込みを作る
セキュリティ技術と言えばイスラエルが有名ですが、イスラエルでは自爆テロなどが日常茶飯事であるため、ほとんど全てのレストランや喫茶店、商店、ホテルの前には、銃を持ったガードマンが立っているのは当たり前、学生でさえ自動小銃を持ち歩く日常がそこにはあるそうです。
安全な日本ではおよそ考えられないことですが、死に至る危険が隣り合わせの環境ではこれが当たり前のことなのでしょう。
このような日常環境にあるからこそ、セキュリティに対する意識も高く、セキュリティ技術も発達するというわけで、普段の環境が、そこにいる人々にどれだけの影響を与えるか?ということが、このことからもよくわかります。
自分に標的型メールが送られてくるわけがない。という無意識の思い込みを生み出してしまっているのは、本人の自覚にも問題があるのかもしれませんが、実は、自然とそのように思ってしまうような環境を作ってしまっていることに原因があるかもしれない。ということは、考えてみるべきだと思います。
普段から標的型メールを自分事として捉える習慣作りを
セキュリティ教育を幾らやっても、自分に標的型メールが送られてくるわけがないと組織の誰もが思い込んでいる限り、その心の隙を突いて攻撃されればひとたまりもありません。
セキュリティ教育をどれだけしようと、また、セキュリティ対策のシステムを幾ら強化しようと、自分には関係のないこと。と思っている人が居れば、あなたの組織はまさに「砂上の楼閣」となってしまいます。
セキュリティ対策において真っ先にやらなければならないこと。それは、自爆テロに備えるイスラエルの人々のように、組織内の誰もが、標的型メールはいつ自分のところに送られてきてもおかしくない「自分事」として捉える意識を持つよう、組織内の環境を整え、意識改革を進め、習慣化を図ることです。
そのためには、実際に標的型メールを見せること。そして、体験させることです。
イスラエルでは自爆テロなどが日常茶飯事だ。と言われても、実際に身近で体験していなければ、あなたはそれを実感できないはずです。
これと同じで、標的型メールも、知識として教えられるだけでは実感するには至りません。
実感しないから、どこか他人事で、自分事として認識することができず、実際に被害に遭って、「ああ、あれがそうだったのか」と後悔することになるのです。
あなたの組織がこんなことにならないために。
標的型メールを、誰もが自分事として捉える組織作りを、今すぐにでも進めましょう。
→次の記事へ( 標的型メール訓練で送信するメールの差出人名とアドレスは何にすべき? )