標的型メール訓練を実施することの必要性について
標的型攻撃に対する対策というと、ウィルス対策ソフトをインストールする、また、セキュリティ対策のための専用のシステムを導入するといった、ソフトウェアやハードウェアによる防御に関心が行きがちですが、システムを使う「人」のセキュリティに対する意識が希薄だったら、セキュリティ対策としては片手落ちです。
悪意を持って標的型攻撃を仕掛ける犯罪者にとっては、セキュリティの弱い相手を見つけることは、金のなる木を見つけることに等しいことです。
標的型メールについてはもう数年前から、その脅威が喧伝され続けてきましたが、2015年6月に日本年金機構の情報漏洩事件が発生して以後も、標的型メールによる情報漏えいや、ランサムウェアと呼ばれる、パソコンを乗っ取っての身代金要求などの被害は未だに発生し続けています。
標的型メールを送り付けてくる犯罪者にとって、隙だらけの組織は、労せずしてお金を手に入れることのできる格好のターゲットです。
例えば、有効なメールアドレスをごっそり抜き取ることができれば、それはダイレクトメールを出したいと思っている人たち、また、標的型メールの送り先を探している他の犯罪者たちに売ることができます。
また、顧客情報などを抜き取る以外にも、相手のパソコンをロックしてしまえば、解除料としてお金を支払わせることもできます。そして、相手のパソコンを踏み台として利用すれば、別のターゲットを狙うこともできます。
実際、ウィルスによってパソコンをロックしておきながら、セキュリティ対策業者を装って営業をかけ、対処料として費用をまんまとせしめる詐欺の話もあります。このような詐欺にひっかかる企業側は、詐欺に遭っているのに、それと気づかずに詐欺師にお礼まで言ってしまうのですから、詐欺師の側からすれば、本当に笑いが止まらないというところでしょう。
このように、標的型攻撃を行う犯罪者にとっては、セキュリティの弱い「カモ」とも言える相手さえいれば、利用する方法はいくらでもあります。標的型攻撃というと、重要なデータを持っていそうな大手企業や官公庁が狙われるもので、まさか自分の会社が狙われることなんてないと思いがちですが、実際にはそうではありません。
あなたの会社も、いつ標的として狙われたとしてもおかしくはないのです。いや、もう既に狙われているかもしれません。今現在、あなたの会社にあるパソコンに悪意のあるプログラムが仕掛けられていないと、100%自信を持って言い切れるでしょうか?また、これから先もそのようなことは起きえないと言い切ることができるでしょうか?
あなたが良くても、他の従業員がダメなら、組織としてはカモも同然です
あなた自身はセキュリティの意識が十分に高く、悪意のある攻撃者に隙を見せるようなことはないとしても、あなたの組織の中で、たった一人でも隙をみせてしまうような人がいれば、あなたの組織は攻撃者にとっては「カモ」も同然になってしまいます。
セキュリティに関する知識が十分でなく、隙だらけというような人がもし何人もいたら、どんなにシステムで防御していたとしても、その穴を突いて侵入を許してしまう機会をみすみす攻撃者に与えてしまうことになります。
組織に属する「人」のセキュリティ意識が低かったら、それはすなわち、攻撃者に対して「どうぞ攻撃してください」と言っているようなものです。
標的型メール訓練の実施は、コストをかけずに実施できる有効な施策です
ソフトウェアやハードウェアによる防御は、サッカーで言えばゴールキーパーのようなもの。ディフェンダーが穴だらけだったら、どんなにゴールキーパーが優れていてもゴールを許してしまう確率が高くなってしまうように、組織に所属する「人」のセキュリティ意識が低かったら、攻撃者の「カモ」にされる確率は高くなってしまいます。
組織全体のセキュリティレベルをより高いものとするには、セキュリティ意識の向上と、ソフトウェアやハードウェアによる対策の両方をしっかりやることが重要です。
ソフトウェアやハードウェアを導入するのはコストも時間もかかりますが、標的型メールとはどのようなものであり、また、標的型メールかどうかを確認するにはどんなことに気をつければ良いのか?を、実際に体験して覚える機会を提供する「標的型メール訓練」を実施するのに、コストや時間は大して必要ありません。
コストや時間が大してかからずに組織全体のセキュリティレベルを少しでも上げられるのなら、やらないという選択肢はないはずです。
標的型メールがどのようなものかを実際に身をもって体験すれば、その経験は記憶となって残ります。座学では実感が得られにくいですが、体験は実感を与えてくれます。
座学プラス体験の両方によって、わかった気になるのを防ぎ、本物の知識として身につけてもらう。標的型メール訓練の実施は、数あるセキュリティ対策の中でも、費用対効果の高い、有効なセキュリティ対策なのです。