訓練実施の必要性
セキュリティ対策というと、ウィルス対策ソフトをインストールする、また、セキュリティ対策のための専用のシステムを導入するといった、ソフトウェアやハードウェアによる防御に関心が行きがちですが、システムを使う「人」のセキュリティに対する意識が希薄だったら、セキュリティ対策としては片手落ちではないかと思います。
悪意を持って攻撃を仕掛ける犯罪者にとっては、セキュリティの弱い相手を見つけることは、金のなる木を見つけることに等しいことです。有効なメールアドレスをごっそり抜き取れば、それはダイレクトメールを出したいと思っている人たちに売ることができます。また、相手のパソコンをロックしてしまえば、解除料としてお金を支払わせることもできます。そして、相手のパソコンを踏み台として利用すれば、別のターゲットを狙うこともできます。
このように、標的型攻撃を行う犯罪者にとっては、セキュリティの弱い「カモ」とも言える相手さえいれば、利用する方法はいくらでもあります。標的型攻撃というと、重要なデータを持っていそうな大手企業や官公庁が狙われるもので、まさか自分の会社が狙われることなんてないと思いがちですが、実際にはそうではありません。
あなたの会社も、いつ標的として狙われたとしてもおかしくはないのです。いや、もう既に狙われているかもしれません。今現在、あなたの会社にあるパソコンに悪意のあるプログラムが仕掛けられていないと、100%自信を持って言い切れるでしょうか?また、これから先もそのようなことは起きえないと言い切ることができるでしょうか?
あなた自身はセキュリティの意識が十分に高く、悪意のある攻撃者に隙を見せるようなことはないとしても、あなたの組織の中で、たった一人でも隙をみせてしまうような人がいれば、あなたの組織は攻撃者にとっては「カモ」も同然になってしまいます。セキュリティに関する知識が十分でなく、隙だらけというような人がもし何人もいたら、どんなにシステムで防御していたとしても、その穴を突いて侵入を許してしまう機会をみすみす攻撃者に与えてしまうことになります。
組織に属する「人」のセキュリティ意識が低かったら、それはすなわち、攻撃者に対して「どうぞ攻撃してください」と言っているようなものです。ソフトウェアやハードウェアによる防御は、サッカーで言えばゴールキーパーのようなもの。ディフェンダーが穴だらけだったら、どんなにゴールキーパーが優れていてもゴールを許してしまう確率が高くなってしまうように、組織に所属する「人」のセキュリティ意識が低かったら、攻撃者の「カモ」にされる確率は高くなってしまいます。
組織全体のセキュリティレベルをより高いものとするには、セキュリティ意識の向上と、ソフトウェアやハードウェアによる対策の両方をしっかりやることが重要だと思います。ソフトウェアやハードウェアを導入するのはコストも時間もかかりますが、訓練を実施するのにコストや時間は大して必要ありません。コストや時間が大してかからずに組織全体のセキュリティレベルを上げられるのなら、やらないという選択肢はないはずです。
標的型メール攻撃がどのようなものかを実際に身をもって体験すれば、その経験は記憶となって残ります。座学では実感が得られにくいですが、体験は実感を与えてくれます。座学プラス体験の両方によって、わかった気になるのを防ぎ、本物の知識として身につけてもらう。いざという時に慌ててしまっては、二次被害・三次被害が発生する可能性だってあります。そういった事を防ぐためにも、「慣れておく」というのはやはり大切です。
今時、怪しい添付ファイルを開く人なんているわけないんだから訓練なんてやる意味がない。という考えもわかりますが、一度事故が起こってしまったら、どのような被害が発生しうるかわかりません。訴訟や損害賠償といった事態に発生するようなことにでもなれば、その損失は計り知れませんし、何より、事態収拾に費やす労力はバカになりません。事態収拾に追われる中、精神的・肉体的に疲れて誤った判断をしてしまい、さらに別の被害を生み出してしまうといった事例は、過去の歴史を振り返れば、幾つも挙げることができます。
ほんのちょっとしたことですが、やはり考え得るリスクに対しては日頃から備えるという姿勢が大事なんじゃないかと思います。
→次の記事へ( OutLookは便利とリスクの隣り合わせ )