訓練メールなんてダメだろ。といった否定的なコメントについての考察

標的型攻撃は年々巧妙さを増す一方です。Webサイトにアクセスするだけでマルウェアを仕込まれてしまったり、著名なソフトウェアのアップデートプログラムにマルウェアが仕込まれていたりするなど、ユーザー側で気をつけているだけでは防ぐことができないこともあります。

このような状況を踏まえて、訓練メールを送付するようなセキュリティ教育を実施したところで意味が無いという意見や、そもそも、ユーザー側に気をつけさせること自体が間違っているという意見もあります。

アメリカ開拓史になぞらえてのセキュリティ対策の方向性は正しいか？

セキュリティ対策をアメリカ開拓史になぞらえて、今後どのように発展していくべきかについて興味深い意見を述べている方の記事を読んだことがあります。

確かに、セキュリティ対策の歴史は、アメリカ開拓史において、犯罪者からどうやってわが身や財産を守るか？という方法の発展の歴史に似ています。

アメリカに初めて移民者が上陸した時のように、インターネットが開始された当初は、犯罪者など皆無でしたが、利用者が増えるにつれて悪用する者が出始め、ウィルスが登場し、利用者は我が身を守るために、ウィルス対策ソフトなどを自分でインストールをし始めました。これは、西部開拓時代に、誰もが銃を持って我が身を守ったという話に似ています。

そして、西部開拓の発展と共に、犯罪も組織的になり、個人だけでは身を守ることが難しくなってくると、保安官や用心棒といった「プロ」が登場するようになりました。これはまさに、セキュリティベンダーの登場と符合します。

そして、現代においてはどうかというと、リアルな犯罪に対しては、警官やガードマンに保安を任せるのが通例となり、各個人が銃などを持って自分の身を守らなければならないという必要性はあまりない。という状況になっています。特に日本においては、警察の努力により、各個人がやるべきことは、家に鍵をかけたり、ホームセキュリティを導入するくらいで、犯罪の手口などについて知らなくてもよいという状況になっています。

このような状況になぞらえて、セキュリティ対策についても、リアルな犯罪への対処と同様、政府やセキュリティベンダーなどのプロに任せれば安心な状況を作るべきで、ユーザー個人にセキュリティ教育を一生懸命行うのは、あるべき方向性ではない。という考え方があります。実際、リアルな世界では、各個人が銃を持つことに懐疑的な意見があります。

確かに、その通りだと思う話もありますが・・・

簡単に言えば、政府はサイバー犯罪者の撲滅に尽力し、セキュリティベンダーはサイバー攻撃など通用しないような対策をしっかりやってくれれば、ユーザーはセキュリティ対策について意識などしなくてもよいわけで、リアルな犯罪と同様、セキュリティ対策はプロが担えば良いというわけです。

実際、オフィスビルに不審者が入り込まないようにするのはガードマンの仕事で、オフィスで働く人は、自分の部屋に不審者がやってくるかもしれないなどということは考えたりしませんし、また、その様なことに対する対策をしておくなどということもありません。

これを会社や組織レベルに落とせば、セキュリティ対策はセキュリティ担当者がしっかりやればよい話で、ユーザーはセキュリティ対策について意識することなく、仕事に集中できるようにするべき。つまり、ユーザに対してセキュリティ対策の訓練をするなどというのは方向性として正しくないという考え方があります。

確かに、各ユーザはセキュリティについて意識せずとも、仕事に集中できる環境を作るべきという考えは、まさにその通りだと思いますが、リアルな世界と、情報セキュリティの世界では、決定的に違っているものがあります。

それは、リアルな世界が「物理的」な世界であるのに対し、情報セキュリティの世界は「物理的」な世界ではない。ということです。

物理に縛られない世界が生み出す決定的な違い

リアルな世界においては、何事も物理法則に縛られます。異国の地にいる犯罪者が、あなたの家に侵入することなどあり得ません。犯罪者は物理的な攻撃を仕掛けざるを得ないという条件があるので、守る側は、物理的な攻撃を防げばよいということになります。

しかし、ネットの世界は物理法則に縛られることがありません。これは決定的な違いです。例えて言うなら、リアルな世界なら、不審者は透明人間になったりすることはできないので、入り口にガードマンを立たせておけば侵入を防げますが、ネットの世界では不審者は透明人間になることもできるし、蟻のように小さくなることもできるということです。

このことは、防御に対する考え方に多大な影響を及ぼします。リアルな犯罪においても、不審者が透明人間になれたりしたらどうなるでしょうか？蟻のように小さくなって、家の隙間からいくらでも侵入することができるとしたらどうでしょうか？このようなことは、リアルな世界では決して起きたりしませんが、もし、可能となったりしたら、防犯はプロに任せれば良いという考え方は、根本から覆ってしまうはずです。

わかりやすく言えば、オフィスビルの入り口にガードマンが立っていても、ガードマンが気づかずに不審者がすり抜けてくる可能性が生じるということです。このような状況では、自分の部屋に不審者がやってくるということを気にしないで良い。などとは思えなくなってくるはずです。

そして、このような状況は、セキュリティ対策システムの裏を掻いてすり抜けてくるマルウェアなどがある今の状況とよく似ています。

ユーザにセキュリティ教育をしないとどうなるか？

ユーザーにセキュリティを意識させるという方向性は正しくないという意見を尊重し、セキュリティ対策システム側でしっかり防御しているということが前提の下、セキュリティ教育を実施しなかったらどうなるでしょうか？

セキュリティ対策がしっかり機能している状況では、ユーザーは何も知らなくても安全でいられるでしょうが、それが機能しない状況に陥ったり、そもそもセキュリティ対策が機能していない状況下に置かれたら、安全を確保することなど、到底できないはずです。

例えば、会社ではしっかり対策が施されていても、社員の家では対策がザル状態だったらどうでしょうか？ＢＹＯＤの普及に伴って、しっかり対策がなされていない環境下からのアクセスが発生するような状況下で、社員のセキュリティに関する知識が皆無だったらどうでしょうか？

ユーザーがセキュリティを意識しなくて良いようにすべき。という考え方には賛同するのですが、リアルな世界と違い、物理法則に縛られないネットの世界においては、ユーザーがどこに居ても、セキュリティを意識しないで良いという状況がやってくることは当面ないでしょう。

訓練メールなんてダメだろ。とはよく言われることですが、それは、訓練をすること自体がダメなのではなくて、訓練メールを送って、怪しいメールは開かないようにしましょうというような、教科書的なセキュリティ教育のやり方がダメ。つまり、訓練実施についての考え方や手法がダメなだけで、情報セキュリティについてユーザーに考えさせるきっかけとなる訓練の実施自体がダメだということではありません。

システムで防御する技術は今後更に発展していくでしょうが、同時に、それをかいくぐる技術も発展していく事と思います。このイタチごっこが続く限り、組織を守るためには、ユーザーに対するセキュリティ教育は必要であり、訓練の実施など、数多くのきっかけを提供することで、常に情報セキュリティについて意識してもらうようにせざるを得ないというのが、現実的な方向性で有るように思います。