あなたの組織は「紺屋の白袴」?とにかく一度やってみるべし!
標的型攻撃対策の一つである、標的型攻撃メールの演習(訓練)は、キーワードとして注目されることは多いですが、実際に実施しているところとなると、日本の企業全体の数から見れば、わずかなものです。
「紺屋の白袴」ではありませんが、セキュリティ対策については最先端であるべきIT関連企業においても、対策は個人任せだったり、クライアントの仕事に追われてしまって、自社については後手に回ってしまっている。というところは、意外に少なくありません。
ウチの社員は模擬のマルウェアなんて絶対に開かない!と言い切れますか?
このページを読まれているあなたなら、標的型攻撃メールの演習を実施しても、模擬のマルウェアにうっかりひっかかってしまう。などということはまず無いと思いますが、あなたの周りにいらっしゃる方はどうでしょうか?
実際、標的型攻撃メールの演習を実施すると、少なからず、模擬のマルウェアにひっかかってしまうという方が出ます。
ちょっとセキュリティに詳しい方なら、「こんなものにひっかかる人なんているの?」と思うような体裁のものでも、意外にひっかかってしまう方がいるという事実は、情報セキュリティに関するリテラシーの格差が如何に著しいか。ということを物語っています。
知っている人は知っているけれど、知らない人は本当に知らないのです。
まずは小さくでいいから、実際にやってみましょう!
標的型攻撃メールの演習というと、全社を対象に実施するもの。と思い込まれている方がいらっしゃるのですが、そんなことはありません。
さすがに標的型攻撃メールの演習を外注する場合は金額もかさむため、全社を対象に実施しなければ意味が無いといった話にもなりがちですが、自前で試しにやるのであれば、なにも全社を対象としなくても、自分の目の届く範囲だけで実施しても構わないわけです。
全社を対象に実施しようが、目の届く範囲で実施しようが、引っかかってしまう人は引っかかってしまうので、引っかかりそうな人を対象に実施して、実際に引っかかってしまうことが確認できれば、あなたの組織における「人」の脆弱性がはっきりすることになります。
セキュリティ対策ソフトやシステムを導入し、見かけ上のセキュリティ対策は大丈夫なように見えても、模擬とはいえ、実際にマルウェアに引っかかってしまう人がいるという事実があれば、それはイコール、ゼロデイ攻撃をされたら、あなたの組織は被害を受ける可能性がある。ということを示していることになります。
この事実をあなたの会社の役員が知ったら、どう思うでしょうか?
経営者層に危機意識があれば、放っておいてよいとは思わないはずです。
ウィークポイントを見える化すれば、次のアクションに繋げやすくなります
何らかの対策が必要だと思っていても、実際にはなかなか行動に移さない、もしくは、移れない。というのは、リスクが見える化されていないからです。
実際に被害に遭うと、どこも慌てて対策をし出すものですが、これはまさに、被害に遭って初めてリスクがはっきり目に見える化されるからに他なりません。
情報セキュリティに限らず、人は目に見えないものに危機意識を感じません。逆に言えば、リスクがはっきり目に見えるようになれば、「今すぐ対策しなければ」と、より強く思うことに繋がります。
あなたの目が届く範囲で、自前で標的型攻撃メールの演習を実施するだけなら、今すぐにでもできることです。あまり大きな声では言えませんが、「標的型攻撃メール対応訓練実施キット」の試用版を使えば、それこそ、全くお金をかけずに、すぐに実施できてしまいます。
その結果、模擬のマルウェアに引っかかってしまう人がいるという事実がハッキリすれば、セキュリティ対策にもっと予算を割いてもらえたり、あなたの提案が受け入れてもらいやすくなったりするかもしれません。
小さくでいいから、まずはやってみること。
上になかなか納得してもらえなくて・・・とか、周りが興味を示してくれなくて・・・と、あなたが今思っていらっしゃるなら、まずは今できる範囲でアクションを興し、小さくてもいいから事実を見える化すると、次のアクションに繋げやすくなるはずです。これは是非、やってみていただきたいと思います。
→次の記事へ( 教科書を読むだけで試験に合格できるとは誰も思わないですよね。だから、標的型攻撃メールに関する教育も・・・ )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
