システム強化にばかり目が行っている担当者は、足をすくわれることになる
標的型攻撃対策というと、「多層防御」など、システムで防御する対策に注目が集まりがちです。確かに攻撃はコンピュータ上で行われるので、システムで防御するのは理に適っていますが、システムで防御すればそれで大丈夫と考えるのは正しくありません。
システムも、無効化されれば、ただの箱
「多層防御」だ何だといっても、結局、システムを使うのは「人」です。使う側がシステムを無効化してしまえば、「多層防御」など何の役にも立ちません。
システムを導入したのはいいけれど、警告がうっとうしいので機能をオフにしている。などという話はよくありがちです。また、警告がしょっちゅう出るので、やがて気にもとめなくなり、大事な警告を見逃した。などという話もありがちです。
さらには、システム管理者が自分だけは「何でもあり」の状態にしていたがために、システムへのウィルス混入を許してしまった。などという笑えないような話もあります。どんなに素晴らしいシステムも、それが正しく機能し、活かされる状況になければ、所詮は絵に描いた餅です。
表玄関からの攻撃が駄目なら、裏からの攻撃もありうる
「標的型攻撃」が全てインターネットを介して行われると考えていたら、それは大きな間違いです。不特定多数にばらまかれるスパムメールならそうかもしれませんが、「標的型攻撃」は、あなたの組織をピンポイントで狙い撃ちしてくるのです。ピンポイントで狙い撃ちしてくるということは、あなたの組織を攻略しようという確固たる意志を持って攻めてくるということです。
もちろん「標的型攻撃」を仕掛けてくる相手は無数に存在するので、インターネットを通じてしか攻撃を仕掛けてこない者もいるでしょう。しかし、重要な情報を持っていたり、儲かっているような会社で、セキュリティが甘かったり、セキュリティの隙を突くことができるような状況にあるとわかっていたら、犯罪者はそのような点を突こうと考えるはずです。
攻撃が成功するかどうかわからない相手を闇雲に狙うくらいなら、成功する可能性の高い相手を狙った方が断然効率的です。セキュリティシステムは導入されているが、一旦会社の中に入ってしまえば、各人のデスクは雑然としていて、USBなど持ち込み放題、差し放題。などという状況にあれば、取引先や清掃員を装って侵入し、マルウェアを持ち込むなどということもできてしまうでしょう。まるで映画かドラマのような話ですが、今や子供でもネット犯罪に手を染める時代です。それでお金が手に入るなら、試みる者がいてもおかしくありません。
最も恐れなければいけないことは内部犯行
プライベートのセキュリティ対策は各個人で行うべきもの。というのが一般的ですが、最近では、個人のパソコンが悪意のある人間に乗っ取られ、友人・知人の情報をネットに公開されたくなければ言うとおりにしろ。といった脅迫をされる事例も増えてきました。
会社はプライベートには関わらないというのが一般的なスタンスですが、個人のパソコンが乗っ取られ、個人情報が盗まれてしまうことで、どういうことが起きるか、考えてみたことはあるでしょうか?
友人・知人の電話番号が盗まれるなどというのは序の口で、オンラインバンクのログイン情報や、様々なサービスへのログイン情報などが盗まれれば、犯罪者は、その人がどのような暮らしをしていて、どのような悩みや弱みを持っているのかも掴むことができてしまいます。
例えば、オンラインバンクの情報が盗まれ、現金が全て引き出されてしまったらどうなるでしょうか?被害は補償されるとしても、当座の生活費などはどうにかして工面するしか有りません。このような状況の中、さらに追い打ちをかけて個人情報をネットに晒すなどと脅されたらどうなるでしょうか?
精神的に追い詰められ、冷静な判断力を失っている状態で脅されれば、犯罪者の言いなりになってしまう人も出てくるはずです。これが、あなたの組織に所属する人だったら、あなたの組織にあるシステムが無効化されたり、マルウェアを持ち込まれたりといったことが起きるかもしれません。まさに犯罪者の思うつぼです。
果たしてこれは想像上の物語に過ぎないでしょうか?何年か前に、銀行を舞台にした「ファイアウォール」という映画がありました。ハリソン・フォード主演のアクション映画ですが、この映画の中で、主人公は家族を人質に取られてしまい、犯罪に手を貸さざるを得ない状況になってしまいました。銃規制がされている日本では、家族を人質に取られるということは起こりにくいかもしれませんが、プライベートの重要な情報を人質代わりに取られたら、同じようなことは十分に起き得ます。
情報セキュリティ対策においては、もはや会社もプライベートもありません。プライベートでの対策を個人任せにしていては、会社に甚大な被害をもたらすウィークポイントとなるかもしれない。これが今の状況です。会社がプライベートにまで立ち入ることはさすがにできませんが、個人に対してセキュリティ教育をしっかりすることで、プライベートの対策をしっかりさせることはできます。
セキュリティ対策はシステムを強化すればそれで大丈夫。と考えていると、思わぬところで足をすくわれることになります。システムを使うのは「人」であり、「人」に対する対策がおろそかであれば、そこがウィークポイントとなることを認識すべきです。
→次の記事へ( Lineは会社で使っていないから関係ない?果たしてそうでしょうか? )