標的型メールは見抜くことが難しい。は誤りです

増え続ける標的型メールによる被害と、セキュリティ担当者の思い込み

思い込みと陥りやすい罠

標的型攻撃による被害は毎年増加をたどる一方です。外部に報告されていない被害があることを考えれば、公的に発表されている被害の額は、氷山の一角かもしれません。

被害に遭っている組織は、セキュリティ対策を全くやっていない組織ばかりかというと、そうではありません。

セキュリティ対策をしっかりやっているはずの企業ですら、被害に遭っているのが実態です。セキュリティ対策をしっかりやっているはずなのに、被害に遭っている。というのは一体どういうことなのでしょうか?

リテラシーの高い担当者ほど陥りやすい、思い込みのワナ

セキュリティ対策を業務として行っている担当者様は、セキュリティに関するリテラシーが高いのが通例です。リテラシーが低い人材がセキュリティ担当者だったら、その組織のセキュリティレベルは推して知るべしになってしまうので、当然といえば当然です。

リテラシーが高い担当者ばかりが集まる部署は、周りが皆リテラシーの高い人ばかりになるので、リテラシーが高い状態が当たり前になります。

そのような環境の中に居ると、リテラシーが低い状態を目にすることがないので、リテラシーが低い人が社内に居ることに気づきにくくなります。これがセキュリティ担当者が陥りやすいワナの一つです。

セキュリティ担当者の方と話をすると、「うちではexeの添付ファイルを開く社員なんていませんよ」と仰る方がいらっしゃるのですが、話をよく聞いてみると、自分の周りに居る人(=リテラシーの高い人)に聞いてみたところそうだった。というだけで、全社員にテストしてみた事実としてそうだった。というわけではなかったりします。

つまり、リテラシーの高い人から聞いたことが、会社全体のセキュリティレベルとイコールだと、ついつい思い込んでしまっている。ということです。

従業員アンケートでは高い結果が出ているけれど・・

また、担当者に思い込みをさせてしまう要素の一つに、セキュリティ研修実施後のアンケートがあります。

このようなアンケートでは、たいていの場合、高い結果が記録されます。何故なら、研修の効果がなかったなどという結果が出ようものなら、面倒なことになるのは火を見るより明らかだからです。

だから、研修を受ける方も実施する方も、実態とは関係なしに、効果があったと報告する方向に心理が働きます。そもそも、こうした研修で行われるテストやアンケートは、資格試験などと違って、厳密な監視下において実施されるようなものではないので、カンニングや回答の共有などが行われたとしても、誰も何も言いません。

このような状態で行われるアンケートやテストの結果をもとに、「うちの会社はリテラシーが高い」と判断してよいか?と問われたら、自信を持ってYESと答えるような方は、恐らくは誰もいらっしゃらないのではないでしょうか。

しかし、自分の周りがリテラシーの高い人ばかりの状況の中で、外部業者から「良い結果」を提示されると、目に見える範囲にリテラシーの低い状態がないので、自社のリテラシーは高い状態だ。などと勘違いしたり、そう思い込んでしまったりすることがあります。これが、担当者の陥りやすいもう一つのワナの一つです。

人的なセキュリティホールを放置しない

セキュリティ対策をやっているはずの組織が被害に遭ってしまう一つの要因に、人的なセキュリティホールを突かれる。ということがあります。

どんなにしっかりセキュリティ対策をやっていようと、セキュリティホールが一か所でもあれば、そこを突かれればオシマイです。まさに、千丈の堤も蟻の一穴から。です。

「イマドキ、exeの添付ファイルなんて誰も開かないよね」というのが、全社員に確認した上での事実ではなく、単なる思い込みや、自分の周りにいる人から得ただけの情報をもとにした判断であったら、exeの添付ファイルを開いてしまうようなリテラシーの低い従業員がいる可能性を見過ごし、そこがセキュリティホールとして放置されることに繋がる恐れが十分に考えられます。

多くの従業員が引っかかってしまう可能性のあるような問題に優先的に対処することは必要ですが、ほとんどの従業員は引っかかったりしないが、それでも、引っかかってしまう可能性がわずかにでも考えられる問題があるなら、そのような問題に気を配ることも、やはり必要でしょう。

セキュリティホールを作らない、また、放置しないために必要なこと。それは、思い込みを捨て、正確な事実に基づいて、必要な対処をする。ということです。そして、そのために必要なことは、地道に事実を積み上げる。ということです。

自分の目に入る状況が、本当に全社の状況を表す事実だと言えるのか?を疑ってかかる。こうしたことも、セキュリティ担当者にとっては必要なことであると思います。

次のページへ

←前の記事へ(
→次の記事へ(
サブコンテンツ