ウィルスに感染したかも。の後に幾らの対応コストがかかるか把握してますか?
標的型メールによる被害に遭うことを防ぐのは難しい。だから、被害に遭うことを前提とした対策を行うべき。ということがよく言われます。
確かに、標的型メール訓練を実施しても、訓練メールに騙されてしまう人をゼロにすることはなかなかできない事実を考えれば、被害に遭うことを前提とした対策を採ることは、企業におけるリスク対策としては必要なことと言えます。
しかし、ここで間違えて頂きたくないことは、被害に遭うことを前提とした対策を行うのなら、従業員に対する教育など行わなくて済む。という誤解をしてしまうことです。
標的型メール訓練など必要ないと考える方が見落としている2つの大事な点
被害に遭うことを前提とした対策をするということは、従業員が万一、標的型メールを開いてしまうようなことがあっても、実際に被害に遭うことは防ぐことができるということ。
だったら、わざわざお金をかけて、従業員に教育なんかする必要ない。とあなたは考えるかもしれません。
実際、そのように考える方は少なくなく、そうした考えから、標的型メール訓練なんて行う必要性を感じない。と主張する担当者の方をこれまで何人も目にしてきました。
一見、このような考え方は正しいようにも思えますが、このように考える方は、実は2つの大事な点を見落としています。
一つは、あらゆる攻撃を100%防ぐことができる対策など、この世には存在しない。ということ。
そして、もう一つは、感染の疑いが発覚した後の対応にかかるコストを考慮していない。ということです。
ウィルス感染の疑いが生じた際にかかるコストを具体的な数値として把握していますか?
「標的型メールを開いてしまったかもしれない」「ウィルス感染のアラートが上がった」
社内でウィルス感染の報告が上がり、対応の初動を起こすきっかけとなるのは、だいたい、上記のようなことだと思います。
ここから、感染源の特定を開始し、実際に何らかの被害が発生しているのか否か?また、感染による影響が他に及んでいるのかどうか?といったことを調査していくことになるわけですが、この対応を行うのに、一体どれくらいのコストと手間がかかるかご存知でしょうか?
これがボヤ騒ぎなどの火事なら、被害の範囲も目に見えますが、ウィルス感染は目に見えるものではありません。ウィルスの正体もわからないわけですから、どのような被害がもたらされるものなのかを把握することも困難です。
しかし、被害の範囲が目に見えないからと言って、そのまま放置するわけにもいきません。
感染源を特定し、原因となったウィルスを駆除し、影響範囲がどこまで及んでいるのか?また、すべてのウィルスを駆除できたと言えるのかどうか?これらを全て明確に把握し、完全に対処したという宣言を対外的に出せなければ、周りから非難を浴びることになります。
よくあるのは、社長や役員から「本当に大丈夫だと言える証拠を持ってこい」というようなことを言われるケースでしょう。このようなことを考えれば、中途半端なままで対応を終わらせるわけにはいきません。
対応が中途半端なままだったがために、後になって被害が拡大していることが公になれば、より面倒なことになるのは言うまでもないことです。
この調査にかかるコストや手間が、一体どれくらいかかるのか?ちょっと想像してみて下さい。
従業員に知識が無かったら、事後対応コストはもっとかかる
ウィルスに感染したことが発覚した際の対応において重要なことは、感染源の特定と、感染した時の状況の把握です。
具体的にどんなウィルスに感染したのか?そして、その感染経路は?こうした情報をどれだけ速やかに把握することができるかどうか?で、その後の対応にかかる手間やコストはだいぶ変わってきます。
しかし、従業員の側に何の知識もなく、従業員にウィルスに感染した時の状況をヒアリングしても、曖昧な回答だったり、要領を得ない回答だったりすれば、特定にかかる時間が無駄に増えるばかりでなく、下手をすれば、間違った情報から無駄な調査稼働を発生させ、その間に、より被害が拡大してしまうことに繋がってしまうということもありえます。
そうなれば、よりコストがかかる結果になってしまうのは自明の理。こうしたことを、経営サイドはきちんと知っておく必要があります。
従業員が標的型メールを開いた分だけ、コストが積み上がることに気づいてください
被害に遭うことを前提とした対策をしておけば、従業員が標的型メールをいくら開こうと問題ない。だって、被害に遭うことは防げるのだから。
という考えはもっともなように思えますが、被害に逢うことは防げたとしても、感染による影響を完全に排除できたかどうか?を調べる手間は排除できません。
感染したかもしれない。というアラートが上がる度に、感染源を特定し、影響範囲を調査し、すべての脅威を排除できた。という確認を取る作業がどうしても必要になります。
当然、この確認作業にかかるコストはゼロ円ではありません。ということは、従業員が標的型メールを開いてしまう確率が高ければ高いほど、確認作業にかかる手間やコストが発生し、それが積み上がっていく。ということです。
そして、その作業に関わる従業員も、こうした面倒な作業を年間を通して繰り返しやらされればストレスもたまり、下手をすれば、もうやってられない!とばかりに、他社に転職してしまうということにもなるかもしれません。
標的型メールが安易に開かれてしまうような状況を放置することは、コストや人材確保の点で大きなマイナスになるのです。
この話を聞いても、あなたは、従業員教育など必要ない。と思うでしょうか?
従業員に対する情報セキュリティ教育は、被害に遭わないようにするためにあるのではなく、長い目で見て、セキュリティ対策にかかるコストを最少化し、会社にとって様々な面でプラスに働くようにするためにあるものです。
システムで対策しているから、従業員教育などやる必要はない。としてしまえるようなものでは決してないということです。
セキュリティ担当者や経営層がこの点に気づいている会社と、そうでない会社、その差は、数年後、数十年後に大きな差となって表れるはずです。
→次の記事へ( 標的型メールかどうかを従業員に見分けさせるなんて、仕事の効率が損なわれるだけ。という主張への反論 )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
