第278号コラム:小山 覚 理事
(NTTコミュニケーションズ株式会社 経営企画部 マネージドセキュリティサービス推進室 担当部長)
題:「標的型攻撃との付き合い方」

7月1日に前職のNTTPCコミュニケーションズを離れ、NTTコミュニケーションズに帰任しました。
新しい職場では企業のセキュリティ対策に関わる緊張感のある業務を行っています。引き続きよろしくお願いします。6年振りのセキュリティ対策の現場ですが、着任して一番驚いたのは標的型メール攻撃が相変わらず減っていないことでした。

標的型メール攻撃とは、実在する社員や組織を標的にして、商品の注文や問い合わせなど、添付ファイルを開かずにはいられないメールを出します。添付ファイルには最新のウィルス対策ソフトでも検知できない新種のマルウェアが混入されており、感染し潜伏したマルウェアを遠隔で操作して、企業の情報を盗み取るような攻撃を行います。

国内最初の標的型メール攻撃は中央省庁を狙って2005年10月に発生しています。その時から攻撃方法や防御モデルの基本は何も変わっていません。しかし被害を受けた企業と、そうでない企業の温度差があるのか、或は対策にお金がかかるためか、根治対策の取組みが遅れているように感じます。
#技術的な対策は、IPAが先日出した「「標的型メール攻撃」対策に向けたシステム設計ガイド」は是非参考にしてください。http://www.ipa.go.jp/files/000033897.pdf

私の会社で標的型メール攻撃演習を行うと、数パーセントの社員は「業務と関係の無いメール」を開封し添付ファイルをクリックしてしまいます。1人でもクリックすれば目的を達する攻撃側と、1人もクリックしないような対策を打たねばならない防御では、掛けるコストは大きく異なってきます。まさに攻撃側が圧倒的に優位な非対称戦闘が行われているのです。

最近では、数パーセントの社員がメールを開封してしまう事を前提に、高級車が購入できるような大金を投じて、セキュリティ対策機器の導入を急ぐ企業が増えています。どこから攻めてくるか分からないサイバー攻撃対策には必要な措置なのですが、その前にやることがあるように思います。つまり不用意にメールを開封する数パーセントの社員をゼロにする努力です。

実際の演習で不審なメールの開封率ゼロの職場がありました。その職場の共通点はコミュニケーションの良さです。不審なメールを受け取ると、周囲の誰かに「いま変なメールがきた?」などと互いに注意喚起し、確認し合っていました。不在の社員にも情報が伝わるように工夫している職場もありました。

メールが無かった時代の電話応対では、電話応対者が対応できない要件は、上司や先輩にエスカレーションされ、業務に関係ない勧誘電話や他部署宛の間違い電話などは速やかに処理されていたように思います。
セキュリティ分野のみならず、人材育成の必要性が叫ばれていますが、人材育成以前の社会人としてのマナーを教える、口うるさい先輩社員が求められているのかもしれませんね。

【著作権は小山氏に属します】