標的型攻撃は防ぐのは困難。って言われているけど、本当にそうなの?
メディアなどでは、「標的型メールはよくできているものが多い。感染を防止するのは非常に困難です。」といった主旨のことが書かれている記事や広告を見かけます。
だから、侵入されることを前提とした対策が必要で、そのために多層防御のシステムや監視サービスを導入しましょう。といった売り込みも多く見かけますが、そもそもの話として、『標的型攻撃は防ぐのは困難』というのは、本当にそうなのでしょうか?
確かに、訓練を実施して開封率が0%だったというのは見たことが無いけれど・・・
これまでの経験上、標的型メール訓練を実施して、誰も訓練メールに引っかからなかった。というケースにはお目にかかったことがありません。
どの企業においても、訓練を実施すると、模擬の標的型メールに騙されてしまう人が必ず出ます。なので、標的型メールを見分けるのは非常に困難です。などと言われれば、そうなのかあ。と思ってしまいますが、本当にそうなのでしょうか?
「非常に困難です」という言い切り型の言い回しは、言い切られているが為に、つい、そうなのかと納得してしまいがちですが、よくよく考えてみると、具体的にどのような事例を指して「困難です」と言っているのかがはっきりしません。
「よくできているもの」というのは、具体的にどのようなメールなのでしょうか?そして、その「よくできているもの」は、どうして標的型メールであることを見分けることができないのでしょうか?
という点を突っ込んでよく考えてみると、本当にそうなの?という疑問が湧いてくるはずです。
冒頭の言葉を正確な言い回しに言い換えてみると・・・
「標的型メールはよくできているものが多い。感染を防止するのは非常に困難です。」という言葉を正確な言い回しにするとしたら、恐らくは、
「標的型メールはよくできているものが多い。標的型メールの手口や、メールの仕組みなどについて知識の無い人がこのようなメールを受け取った場合、標的型メールであることに気がつくのは難しいかもしれません。そうなると、標的型メールとは知らずに開いてしまう可能性が高く、このような場合、感染を防止するのは非常に困難です。」
というような言い回しとすべきでしょう。冒頭の言い回しは「〇〇は××だ。」という言い回しになっていますが、本来は「〇〇は△△だから、××だ。」というように、結論の根拠となる前提が示されるべきです。
この場合、感染を防止するのは非常に困難となるのは、メールを受け取った人が、標的型メールの手口やメールの仕組みなどについて知識を持ち合わせていないが為。ということになります。
だとすると、感染を防止するのは非常に困難。というのは、標的型メールが『よくできている』ことが理由なのでは無く、メールを受け取った人のセキュリティリテラシーが乏しい事が理由。ということになり、標的型メールが『よくできている』と言っても、それはあくまで、セキュリティリテラシーが乏しい人から見ての話。ということになります。
標的型メールは非常に巧妙にできているから見分けられない。というのと、
メールを受け取った人が標的型メールであるかどうかを見分けられない。というのでは、
全く話が違いますよね。前者なら、侵入されることを前提とした対策が必要と言われれば、そうだなあ。と思ってしまいますが、後者なら、従業員のセキュリティリテラシーを高める対策の方がむしろ有効なんじゃないか。と思うはずです。
まずやるべきは、できることをしっかりやる。ということじゃないでしょうか?
多層防御だの、脅威の見える化だの、人工知能による防御だのと、セキュリティ対策に関する話題は尽きませんが、あなたの組織では、今やれることをしっかりやることができているでしょうか?
従業員のセキュリティリテラシーを高めるようなこともせず、標的型メールという言葉すら知らない従業員を放置したまま、システムでどうにか対策しようと考えるのは果たして正しいやり方でしょうか?
寒い冬のさなか、窓が開けっ放しなのを放置したまま、暖房を効かせれば寒さは防げますよ。などと言う人は居ないはずです。暖房を効かせるよりもまず、「窓を閉めろ!」でしょう。
しかし、これがセキュリティ対策になると、窓が開けっ放しなのを放置したまま、暖房を効かせれば寒さは防げますよ。などと言うようことになっていたりしないでしょうか?
今やれることがあるなら、まずは、それをしっかりやる。
その上で、それでも解決できない課題があるなら、その課題を解決するための方法を考える。これがあるべき姿だというのは、あなたにも納得がいく話なのではと思います。
→次の記事へ( 標的型攻撃が生んだセキュリティビジネスの闇 )