組織におけるセキュリティ対策は連係プレー、個人プレーではないからこそ・・・
セキュリティ対策というと、eラーニングによる教育だったり、システムを導入しての対策だったりといったものを想起しがちですが、組織におけるセキュリティ対策は連係プレーによって成立するものです。
大きなビルに入居しているような企業であれば、会社の入り口にはセキュリティゲートがあり、許可された人しか入れないようになっているものですが、そこから先の対応については、会社によって実に様々です。入り口まで社員がやってきて、アテンドがないとその先に進めない会社もあれば、アポイント先となる担当者のところまで自由に行けてしまう会社もあります。また、社員の出入りの多いオフィスだと、「共連れ」によって全く無関係のフロアに出入りしたとしても、誰も気づかないような状況になっているところもあったりします。
日本人は総じて「人が良い」ですが、逆にそれが、他の人も「良い人」という思い込みに繋がり、まさか自分のオフィス内に悪意を持った人物が居るなどとは思いもしないといったセキュリティホールに繋がります。
お客様にアテンドをつけない会社であれば、社内に見慣れない人や、外から来たと思しき人が一人で歩いているのを見かけたら声をかける、また、共連れによって入室しようとする人がいたら、どこに行こうとしているのか注視するなどの対応を誰もができれば、セキュリティはかなりしっかりしていると言えますが、誰もその様なことに気を遣わないような状況だと、ウィルスの入ったUSBを持ち込まれたとしても誰も気づかず、しかも、「良い人」であることが災いし、見知らぬUSBが誰のUSBかを確認しようとして、PCをウィルスに感染させてしまうといったことも起きるかもしれません。
これこそまさに、ソーシャルエンジニアリングを悪用した攻撃なわけですが、こうした攻撃に対しては個人ひとりひとりが気をつけるだけでは駄目で、組織全体として隙が無いようにすることが肝要です。見知らぬUSBの話であれば、もし、そういう物を見つけたとしても安易にPCに繋いでみたりせずに、然るべき部署に渡して確かめてもらうといったルールが定められ、組織の誰もがそのルールに則って行動する。そういうことです。
野球やサッカーを考えてもらえばわかるかと思いますが、個人の技量を高めただけでは試合に勝つことはできません。技量の高い個人が上手く連係しあうことによって、初めて強いチームができます。それと同じように、セキュリティに関しても、個人の知識ばかり高めても脅威を防ぎきることはできません。攻撃者は、各個人が上手く連携できていない隙を突いてくるからです。
では、隙の無い組織を作るにはどうするか?それには、組織全体での訓練・演習をするしかありません。もし、チーム練習を全くせず、チームプレーの方法については、各個人がeラーニングで学習するだけの野球チームがあったら、あなたはどう思うでしょうか?
「そんなことしたってチームプレーなどできるわけない」と思うのではないでしょうか?実際にやってみなければ身につくわけがない。きっとそう思うはずです。セキュリティ対策もこれと同じです。組織全体で実際にやってみるということが、何よりも大事なのです。連係プレーはeラーニングではできません。模擬訓練やロールプレイングなどの体験型学習を行うことも、対策の一環として採り入れていくべきだと思います。
→次の記事へ( IEのゼロデイ脆弱性への対応に見る、企業のセキュリティレベル )