防御策を適用するばかりが、悪意ある攻撃への対策ではない
標的型攻撃への対策というと、攻撃を検知するシステムの導入などの「入口」「出口」対策を思い浮かべますが、これらの対策はどれも攻撃に対する「防御策」です。一方的に攻撃してくるのだから、防御策を講じる。当たり前のことですが、防御するばかりが対策ではありません。今回は、そんなお話しを一つ、ご紹介します。
まあ、まずはこちらの面白い話をご覧下さい
とりあえず、まずはこちらのサイトに掲載されている「実録話」をご覧下さい。会社で読まれている場合は、思わずニヤニヤしてしまって、「何やってんだコイツ」などと思われないようご注意を。
さすがに本職のライターさんは面白いことを書くなあと思いますが、この「実録話」から得られる教訓は、
攻撃する側も人間だ
ということです。攻撃する側はかなりの行程を自動化していると思われますが、成功確率を上げるために人が介在する部分もあるはずです。プログラムが相手ならプログラムに合わせた対策を、人が相手なら人に合わせた対策を。というわけです。
攻撃者も人間である以上、嫌なことや面倒なことはしたくないと思うものです。そんなことをするくらいなら、他の方法を探した方がましだし、実際、そのほうが成功する確率も高いと考えるはずです。ということは、攻撃者側に、自分たちを攻撃しても「良いことは何もない」と思わせれば、攻撃をしようなどとは思わないということになります。
電気をつけっぱなしにした店舗や、防犯カメラが設置された店舗には泥棒が入らない。というのと同じ理屈です。
対外的に組織を挙げて対策をしていることを示そう
検知システムなどを導入し、いつ行われるかわからない攻撃に対して備えることも必要ですが、そもそも、攻撃者が攻撃をしたいと思わなければ攻撃はされません。ということは、逆にこちらから先手を打ち、攻撃者の気持ちを萎えさせてしまうことは非常に有効な対策になります。
標的型攻撃は、成功確率を高めるために、攻撃相手を徹底的に調べ尽くした上で攻撃を仕掛けてきます。これは裏を返せば、こちらが対外的に公表している情報を攻撃者も見ているということでもあります。であるなら、相手が嫌がる情報を流せば、それも相手に届くということです。
・eラーニングや研修などによって、最新のセキュリティ対策を身につけている
・訓練の実施によって、座学だけでなく実践的な対策にも取り組んでいる
・組織的なレベルでセキュリティマネジメントが行われている
・有事の際にも、組織的に迅速かつ、適切な対処が行えるようになっている
こういったことを、実例を交えて積極的に広報されていれば、誰が見てもガードが堅い相手だと想像します。そんな相手にあえて攻撃を挑む猛者や、数打ちゃ当たる方式で何も考えずに挑んでくる相手も居るでしょうが、攻撃をあきらめる者も少なくないはずです。
広報用のコンテンツを用意するのはそれなりに手間も費用もかかりますが、セキュリティ対策システムを導入し、運用する手間や費用に比べたらわずかなものです。攻撃の数が減れば、その分、攻撃への対処にかかる手間も減ります。攻撃への対処に人手が取られなければ、その分、他の優先事項に取り組むこともできるようになります。
こうしたメリットがあるにも関わらず、セキュリティ対策について積極的に広報を行っている会社はわずかなものです。これは実に勿体のないことです。広報というと、商品やサービスの宣伝や、採用情報の提供といったことに目が行きがちですが、情報を発信するというのは「心理戦」でもあります。広報の方には、是非、こうした使い方もしていただきたいなと思います。
→次の記事へ( ユーザが脅威を意識しないでいいようにする、これは本当に是か? )