第1話 さあ、標的型メール訓練を実施しよう!
家でも会社でも、ネットワークに繋がった日常はもはや、なくてはならないものになってしまっています。そうなると無視できないのが「セキュリティ」の問題。ネットワークに繋がっている事が必須となる以上、自分自身、そして、自分が所属する組織を守るためにやるべき事は沢山あります。
悪意のある第三者から身を守るために、実際に起こりうる「脅威」を身を以て体験し、イザという時に困らない・慌てないようにする「耐性」を身につける模擬訓練の実施は、やる気さえあれば、高いコストを払わずとも、すぐにでも実施できるものです。
備えあれば憂い無し。訓練をやって損をする。ということはないはずです。すぐに実施できるなら、実施しない手はないと思いませんか?
訓練実施イコール、「セキュリティ教育」と考えるのは早計です
模擬訓練実施によって得られる直接的な効果は、実際に起こりうる「脅威」がどのようなものかを知り、被害に遭わないようにする「教育」的な効果から、「セキュリティ教育」の手法の一つとして見られる事が多いですが、実際に得られるものはそれだけではありません。
悪意のある第三者からの攻撃を受けた時、組織としてはどのように対応するべきでしょうか?
怪しいメールが送られてきたら削除すればいい。本当にそれだけで良いでしょうか?もし、そのメールが、取引先の会社のサーバが攻撃者によって乗っ取られていて、そこから送られてきたものだったら、そのまま放置しておいて良いでしょうか?また、他の部署にも同様のメールが送られてきているかもしれないのに、他部署のことは自分には関係ないとして、何も知らせずにメールを削除しておしまい。で良いでしょうか?
では、実際に組織として何かしらの対応をしなければならないとしたら、具体的にどのような対応を取るべきでしょうか?
連絡体制は?意志決定のフローは?対外的なアナウンスの方法は?そして、管理者が不在だったり、連絡が付かなかった時の対処方法は?などなど・・・
訓練実施は、従業員個々のリテラシーを高めるだけでなく、セキュリティマネジメントやリスクマネジメントを絵に描いた餅にしないための試金石となるものです。
訓練実施を試金石に組織のセキュリティレベルを高めるPDCAサイクルを回す
標的型メールへの対処に関して、何も決めていない、決まっていないといった状態で被害が発覚すれば、不必要に慌ててしまい、判断ミスが発生し、対応が後手後手となり、二次被害・三次被害が発生してしまう恐れがあります。実際にその様な状態に陥り、現場では意見が割れて怒号が飛び交い、担当者は目先の対応に追われて疲弊し、判断ミスから損失も膨らんで・・・といった最悪のシナリオになることだけは避けたいものです。
そのような不幸な事態に陥らないようにするためにも、実際に脅威を体験する模擬訓練の実施を企画することは、そのような脅威が襲ってきた時に組織としてどう対処するべきかを予め考えるきっかけになります。
そして、模擬訓練を実施することは、組織としてどのように対処するか?について考えたことが、実際にできるかどうかを検証するロールプレイングにもなります。模擬訓練の実施は、「脅威」について知るというだけでなく、PDCAサイクルを回し、組織のセキュリティレベルを底上げするのに役立つ、一石二丁にも三丁にもなる、効果的な実施施策だということです。
それでいてかかる費用は、セキュリティ対策システムを導入するのにかかる費用と比べればわずかなものです。組織として成長できることが期待できて費用もかからない。にもかかわらず実施しないという選択肢はあるでしょうか?
模擬訓練はやろうと思えばいつでも実施できます。年に1度だけしか実施してはいけないといった決まりもありません。PDCAサイクルを回し、組織のセキュリティレベルを上げるために。さあ、訓練を実施しましょう!
→次の記事へ( 第2話 まず初めにこれをやろう )