標的型メール訓練の実施は大袈裟?
トレンドマイクロ社が、企業および官公庁自治体でITセキュリティに関与する1,234名を対象に実施した、「セキュリティ教育・組織体制に関する実態調査2014」の調査報告によると、なりすましメールによる標的型攻メール訓練の実施については全体の約7割の回答者が、今後も「実施予定なし」と回答をされたそうです。
2017年の今では、この認識も多少改善されてきてはいますが、以前にある会社の社長さんと標的型メール訓練について話をした時には、「そこまで本格的なことはウチではやる必要ないと思う」といったご意見をいただいたりしていますし、また、「訓練なんてしなくても、システムに脆弱性がないかどうかを定期的に診てもらっていれば、それで十分なんじゃないですか?」といったご意見をいただいたこともあります。
こうしたご意見からは、
・標的型メール訓練は大企業など、規模の大きい会社が行うもの
・システムに対策を施しておけば被害に遭うことはない
・セキュリティの重要性なんて誰もがわかっているのでわざわざ教える必要など無い
といった認識がその背景にあるように思えるのですが、ひと昔前ならいざ知らず、デバイスの性能が向上し、様々な技術が多様化・複雑化している今においては、このような考えは時代に合わなくなってきている。ということを理解する必要があります。
巧妙な手口によって、システムを利用する人が利用される今
FacebookやLINEなどに代表されるSNSなどの各種サービスや、スマートフォンなどのデバイスが存在しなかった時代であれば、サイバー攻撃を行うための手口も限られていましたが、ネットワークに接続するデバイスが多様化し、それらのデバイスを活用したサービスが多数登場している今は、サイバー攻撃の手口もまた、多様化・複雑化しています。
例えば、今のパソコンやスマートフォンには、高性能なカメラやマイクが当たり前のように標準装備されていたりします。
こうしたカメラやマイクを遠隔操作し、システムを利用する人の目の動きや、キーボードを叩く音などを拾って、パスワードなどの重要な情報を盗み取るといったようなことが、技術的には可能な状況となってきており、8K、16Kといった画像の高解像度化が進めば、そうした、まるでSFの世界のような手口が登場してくるのも時間の問題と言えるような時代となってきています。
また、パソコンの設定を支援すると称して、遠隔操作のための不正なソフトウェアを仕掛けたり、有名なソフトウェアに不正なソフトウェアを紛れ込ませて、ユーザー自身の操作によって不正なソフトをインストールさせるといった手口も、ひと昔前にはなかったものです。
サイバー攻撃というと、不正なプログラムが動いてパソコン内の情報を盗んだり、データが消去されるといったことを想像するかもしれません。そうした想定では、不正なプログラムが動かないよう対策しておけば安心と考えてしまいますが、ユーザー自身が不正なソフトウェアであると全く気付かずに動かしてしまうような巧妙な手口を使われてしまっては、たとえ不正なプログラムが動かないよう対策しておいたとしても、被害を防ぐことはできないでしょう。
最近の例では、セキュリティに疎い販売者のアカウントを乗っ取り、Amazonの信頼性を利用してお金をかすめ取ろうとする、Amazonマーケットプレイスを悪用した詐欺行為などは、システムを利用する人が利用されている典型的な例と言えます。
今のサイバー攻撃は、技術による勝負だけではなく、知恵の勝負でもあり、ソーシャルエンジニアリングを応用するなど、システム以外の部分での脆弱性や盲点を突いた攻撃によって、貴重な財産や情報が奪われてしまうといったことを、私たちは知る必要があります。
実際、日本年金機構などの被害の実例を見れば、たかをくくって何もしないでいることが、如何に大きな問題に繋がり得るか。を知ることができるはずです。
他人事ではなく、自分事として意識してもらうきっかけが必要
サイバー攻撃は、今や、システム以外の脆弱性や盲点をも利用して仕掛けてくるものであることは、前記で記載した通りです。
ユーザの意識の裏を掻くような攻撃を仕掛けられた場合は、システムに防御策を施していたとしても、被害を防ぎきることができるかどうかわかりません。
セキュリティ対策はセキュリティ担当者が行うもので、セキュリティ担当者ではない自分には関係のないことだ。という意識を社員の誰もが持っていたら、自分が利用されていることに気づくことなく、攻撃者の罠にまんまとひっかかってしまうかもしれません。
このような事態となることを少しでも防ぐには、社員一人一人が、サイバー攻撃を他人事としてではなく、自分事として意識してもらうことが必要です。
eラーニングや研修の受講では、攻撃の手口を知ったとしても、まさか自分が攻撃されるなどとは考えませんから、他人事の意識のまま学習を終えることになります。
しかし、標的型メール訓練の実施によって、自分が攻撃にひっかかってしまうような体験をすれば、他人事だった意識は、自分事の意識へと切り替わることになります。疑似とはいえ、標的型メールにひっかかってしまえば、誰もが「えっ!?」と思うからです。
1度訓練を実施したからといって、社員全員の意識が、他人事から自分事に変わるというわけではありませんが、一人でも多くの社員が、サイバー攻撃を自分事として認識してもらうことができれば、組織のセキュリティレベル強化に繋がることは確かでしょう。
標的型メール訓練を実施するのは大袈裟なことのように見えるかもしれませんが、言って意識が変わるなら苦労はありません。大袈裟と思えるようなものでも、それで従業員の意識を変えることに繋がるのなら、「やる必要はない」などというようなことはないのではないでしょうか。
本文を読まれてもなお、標的型メール訓練なんて本格的なものはウチではやる必要ない。と、もしあなたが思っているとしたら、意識を変えるべきは、まず、あなたからかもしれません。