シーサートをうまく機能させるには、従業員全員の理解があってこそ

標的型メール訓練をするなら、標的型攻撃メール対応訓練実施キットがお役に立ちます。訓練実施に関すること、何でもお問い合わせ下さい。

シーサートをうまく機能させるには、従業員全員の理解があってこそ

[セキュリティマネジメント]



YOMIURI ONLINEにおいて、「被害拡大防止に必要な「サイバー消防隊」」として、シーサートに関する記事が取り上げられています。

YOMIURI ONLINEの記事はこちら
⇒http://www.yomiuri.co.jp/science/feature/CO017291/20160720-OYT8T50000.html

シーサートについては社内に設置している、また、これから設置しようとしているという企業も少なくないとは思いますが、実際に設置している企業において、自信を持って

「我が社のシーサートはどんな有事の際にも立派に機能する」

と答えられる企業はどれくらいあるでしょうか？

立派に機能するかどうかの試金石は、従業員がどれだけわかっているか？

シーサートを設置されている企業の上層部、また、担当者は、「ウチのシーサートは大丈夫」と自信を持って言うかもしれません。

しかし、情報セキュリティとは全く無縁の部門、例えば、営業部門に所属するアシスタントの女性に、自社にシーサートが設置されていること、また、シーサートが果たす役割、そして、どんな時にシーサートに連絡をしなければならないか？について尋ねたときに、明確な答えが返ってこなかったら、その会社のシーサートはきちんとは機能しないかもしれません。

どんなに立派でしっかりしたシーサートを作っても、従業員の誰もその存在を知らない、もしくは、名前は知っていても、何をやっているのか知らない。というのでは、どこにしまったかわからなくなってしまったタンス預金と同様に役には立たないものです。

自社のシーサートが立派に機能するかどうか？それは、

従業員全員がシーサートについてどれだけ理解してくれているか？

であり、理解してもらうためには、

従業員に対する情報セキュリティ教育をどれだけしっかりやっているか？

に依ります。周りから言われてシーサートは作ったけれど、従業員教育はおざなり。という組織では、シーサートが満足に機能することはないでしょう。

シーサートの担当者に繋いで下さい。と言われて電話がたらい回しになったりしませんか？

シーサートがまともに機能しない例の一つは、電話がたらい回しになる。ということでしょう。

外部からシーサートの担当者宛に電話がかかってきても、

「シーサートなんてウチにあったっけ？」とか、
「シーサートってどこの部署にあるんだっけ？」

なんて話になり、総務部に回せとか、情報システム部に聞けばわかるんじゃないの？なんて話になって、電話がたらい回しになる。なんていう状況では、外部から情報漏えいに関する情報がもたらされても、シーサートの担当者に迅速に繋がるかどうか怪しいものです。

ましてや、「シーサートって何？間違い電話なんじゃないの？」なんて社員が言うようでは、もはや論外でしょう。

シーサートを設置することは、それはそれで大事なことですが、実際に機能させるには、従業員全員にその存在を知らしめ、どのような時にシーサートに連絡をしなければならないか？そして、連絡先はどこか？をしっかり知らしめておかなければ、まさに絵に描いた餅のようになってしまいます。

シーサートを機能させるには、従業員全員に対する普及・啓蒙・宣伝活動も大事な仕事の一つだということです。

このことをわかっていて、日頃から従業員との関わりに心を砕いているシーサートであれば、イザという時には従業員の協力によって、十分立派にその役割を果たせると思いますが、従業員との関わりもなく、その存在自体をあまりよく知られていないシーサートだったとしたら、果たしてどうでしょうか？

事件は会議室で起きるんじゃない。現場で起きるんだ。

「踊る大捜査線」の名コピーではありませんが、セキュリティに関する事件・事故は、必ずしもシーサートの担当者の目の前で起きるわけではありません。むしろ、担当者がいない場所で起きる、また、発見されるケースの方が断然多いでしょう。

外部からもたらされる情報も、シーサートの担当者の電話に直接かかってくるケースより、代表番号などにもたらされるケースの方が多いかもしれません。

つまり、シーサートが初動を起こすきっかけは現場にこそ存在する。ということであり、その現場にいる従業員に、シーサートについての理解や知識がなかったら全く話にならない。ということです。

我が社にもシーサートが必要。ということで、人員を集め、体制作りに忙しく立ち回ることも大事なことではありますが、どれだけ立派な体制を作っても、機能するきっかけがなければ意味がありません。

現場で発生するきっかけをきっちり捉えて迅速に初動が起こせる状況を作ること。

立派な体制を作るよりも、まずはこれが一番大事なことだと思います。

←前の記事へ（ 高難易度の標的型攻撃メールを見極めることは不可能。なんていうのは嘘 ）
→次の記事へ（ 情報セキュリテイ教育をしっかりやっていない企業ほど開封率は高い。という事実 ）

サブコンテンツ
サイドバー

標的型メール訓練実施の教科書
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。

【まず初めに】
子供でも攻撃ができる時代だからこそ、組織はマインドセットを変えるべき
演習実施の必要性について
小さく始めて大きく展開する。自前だからこそできること
演習実施にまつわる誤解
演習の実施は大袈裟？
演習実施によって思い込みを排除する
演習を繰り返し実施することの意義
何人が開封？で一喜一憂しない。演習で本当に重要な事とは？
標的型攻撃メールの演習はお金がかかる。は、もう過去の話です
exeファイルの実行はブロックされる。故に訓練など意味がない。は本当？
何故？セキュリティ対策をしっかりやっている組織が被害に遭うのか？

【標的型メール訓練How to】
第1話　さあ、標的型メール訓練を実施しよう！
第2話　まず初めにこれをやろう！
第3話　スコープを決めよう！
第4話　戦略として訓練実施の実行委員会を立ち上げる
第5話　訓練実施の方法を決めよう！
第6話　訓練メールの形式を考えよう！
第7話　訓練メールに添付する、マルウェアファイルを作ろう！
⇒条件さえ揃えば簡単に騙せる。心理学を悪用した巧妙な手口
⇒Wordなどの文書ファイルを標的型メール訓練に使う
⇒exeファイルを模擬のマルウェアとして使う
⇒Windowsのショートカットを模擬のマルウェアとして使う
⇒URLリンクをメール本文に記載して訓練を実施する
⇒標的型メール演習で使用するURLリンクはどうするか？
⇒HTMLメールの形式で標的型メール演習を行う場合の注意点

第8話　訓練メールを送信しよう！
⇒偽装したメールアドレスを使うには？
⇒抜き打ちで訓練を実施するのは有り？
⇒Excelを使って訓練メールを送信する
第9話　次に繋がる実施結果報告の作り方
⇒開封者情報の集計を簡単に！
第10話　次回に繋がるフィードバックを得よう！
第11話　PDCFAのサイクルを回そう！
第12話　次回の訓練実施に向けての課題の抽出

サイト内検索