増え続ける標的型メールによる被害と、セキュリティ担当者の思い込み

標的型メール訓練をするなら、標的型攻撃メール対応訓練実施キットがお役に立ちます。訓練実施に関すること、何でもお問い合わせ下さい。

増え続ける標的型メールによる被害と、セキュリティ担当者の思い込み

[標的型メール訓練を知る]



標的型攻撃による被害は毎年増加をたどる一方です。外部に報告されていない被害があることを考えれば、公的に発表されている被害の額は、氷山の一角かもしれません。

被害に遭っている組織は、セキュリティ対策を全くやっていない組織ばかりかというと、そうではありません。

セキュリティ対策をしっかりやっているはずの企業ですら、被害に遭っているのが実態です。セキュリティ対策をしっかりやっているはずなのに、被害に遭っている。というのは一体どういうことなのでしょうか？

リテラシーの高い担当者ほど陥りやすい、思い込みのワナ

セキュリティ対策を業務として行っている担当者様は、セキュリティに関するリテラシーが高いのが通例です。リテラシーが低い人材がセキュリティ担当者だったら、その組織のセキュリティレベルは推して知るべしになってしまうので、当然といえば当然です。

リテラシーが高い担当者ばかりが集まる部署は、周りが皆リテラシーの高い人ばかりになるので、リテラシーが高い状態が当たり前になります。

そのような環境の中に居ると、リテラシーが低い状態を目にすることがないので、リテラシーが低い人が社内に居ることに気づきにくくなります。これがセキュリティ担当者が陥りやすいワナの一つです。

セキュリティ担当者の方と話をすると、「うちではexeの添付ファイルを開く社員なんていませんよ」と仰る方がいらっしゃるのですが、話をよく聞いてみると、自分の周りに居る人（＝リテラシーの高い人）に聞いてみたところそうだった。というだけで、全社員にテストしてみた事実としてそうだった。というわけではなかったりします。

つまり、リテラシーの高い人から聞いたことが、会社全体のセキュリティレベルとイコールだと、ついつい思い込んでしまっている。ということです。

従業員アンケートでは高い結果が出ているけれど・・

また、担当者に思い込みをさせてしまう要素の一つに、セキュリティ研修実施後のアンケートがあります。

このようなアンケートでは、たいていの場合、高い結果が記録されます。何故なら、研修の効果がなかったなどという結果が出ようものなら、面倒なことになるのは火を見るより明らかだからです。

だから、研修を受ける方も実施する方も、実態とは関係なしに、効果があったと報告する方向に心理が働きます。そもそも、こうした研修で行われるテストやアンケートは、資格試験などと違って、厳密な監視下において実施されるようなものではないので、カンニングや回答の共有などが行われたとしても、誰も何も言いません。

このような状態で行われるアンケートやテストの結果をもとに、「うちの会社はリテラシーが高い」と判断してよいか？と問われたら、自信を持ってYESと答えるような方は、恐らくは誰もいらっしゃらないのではないでしょうか。

しかし、自分の周りがリテラシーの高い人ばかりの状況の中で、外部業者から「良い結果」を提示されると、目に見える範囲にリテラシーの低い状態がないので、自社のリテラシーは高い状態だ。などと勘違いしたり、そう思い込んでしまったりすることがあります。これが、担当者の陥りやすいもう一つのワナの一つです。

人的なセキュリティホールを放置しない

セキュリティ対策をやっているはずの組織が被害に遭ってしまう一つの要因に、人的なセキュリティホールを突かれる。ということがあります。

どんなにしっかりセキュリティ対策をやっていようと、セキュリティホールが一か所でもあれば、そこを突かれればオシマイです。まさに、千丈の堤も蟻の一穴から。です。

「イマドキ、exeの添付ファイルなんて誰も開かないよね」というのが、全社員に確認した上での事実ではなく、単なる思い込みや、自分の周りにいる人から得ただけの情報をもとにした判断であったら、exeの添付ファイルを開いてしまうようなリテラシーの低い従業員がいる可能性を見過ごし、そこがセキュリティホールとして放置されることに繋がる恐れが十分に考えられます。

多くの従業員が引っかかってしまう可能性のあるような問題に優先的に対処することは必要ですが、ほとんどの従業員は引っかかったりしないが、それでも、引っかかってしまう可能性がわずかにでも考えられる問題があるなら、そのような問題に気を配ることも、やはり必要でしょう。

セキュリティホールを作らない、また、放置しないために必要なこと。それは、思い込みを捨て、正確な事実に基づいて、必要な対処をする。ということです。そして、そのために必要なことは、地道に事実を積み上げる。ということです。

自分の目に入る状況が、本当に全社の状況を表す事実だと言えるのか？を疑ってかかる。こうしたことも、セキュリティ担当者にとっては必要なことであると思います。

次のページへ

←前の記事へ（ 教科書を読むだけで試験に合格できるとは誰も思わないですよね。だから、標的型攻撃メールに関する教育も・・・ ）
→次の記事へ（ 指一本で盗まれるカード情報、これが現実であることを知ろう ）

サブコンテンツ
サイドバー

標的型メール訓練実施の教科書
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。

【まず初めに】
子供でも攻撃ができる時代だからこそ、組織はマインドセットを変えるべき
演習実施の必要性について
小さく始めて大きく展開する。自前だからこそできること
演習実施にまつわる誤解
演習の実施は大袈裟？
演習実施によって思い込みを排除する
演習を繰り返し実施することの意義
何人が開封？で一喜一憂しない。演習で本当に重要な事とは？
標的型攻撃メールの演習はお金がかかる。は、もう過去の話です
exeファイルの実行はブロックされる。故に訓練など意味がない。は本当？
何故？セキュリティ対策をしっかりやっている組織が被害に遭うのか？

【標的型メール訓練How to】
第1話　さあ、標的型メール訓練を実施しよう！
第2話　まず初めにこれをやろう！
第3話　スコープを決めよう！
第4話　戦略として訓練実施の実行委員会を立ち上げる
第5話　訓練実施の方法を決めよう！
第6話　訓練メールの形式を考えよう！
第7話　訓練メールに添付する、マルウェアファイルを作ろう！
⇒条件さえ揃えば簡単に騙せる。心理学を悪用した巧妙な手口
⇒Wordなどの文書ファイルを標的型メール訓練に使う
⇒exeファイルを模擬のマルウェアとして使う
⇒Windowsのショートカットを模擬のマルウェアとして使う
⇒URLリンクをメール本文に記載して訓練を実施する
⇒標的型メール演習で使用するURLリンクはどうするか？
⇒HTMLメールの形式で標的型メール演習を行う場合の注意点

第8話　訓練メールを送信しよう！
⇒偽装したメールアドレスを使うには？
⇒抜き打ちで訓練を実施するのは有り？
⇒Excelを使って訓練メールを送信する
第9話　次に繋がる実施結果報告の作り方
⇒開封者情報の集計を簡単に！
第10話　次回に繋がるフィードバックを得よう！
第11話　PDCFAのサイクルを回そう！
第12話　次回の訓練実施に向けての課題の抽出

サイト内検索