コンサルタントコラム

所属
リスクマネジメント第三部 統合リスクマネジメントグループ
役職名
マネジャー・上席コンサルタント
執筆者名
岡田 智之 Tomoyuki Okada

2018年1月22日

サイバー攻撃の件数は年々増加する傾向にあり、特定の企業・組織を狙う標的型攻撃を中心としてその手口や攻撃手法は高度化・巧妙化している。2017年11月に経済産業省および独立行政法人情報処理推進機構が公表した「サイバーセキュリティ経営ガイドラインVer.2.0」によると、約4割の企業がサイバー攻撃を受けた経験があるも、発覚経緯の約半数が外部からの指摘によるものとなっている。すなわち、より高度化・巧妙化したサイバー攻撃による被害を受けていても、攻撃に気づいていない企業が多数存在すると考えられる。

例えば、代表的なサイバー攻撃である標的型メール攻撃の近年の特徴として、

  • 送信元メールアドレスは全体の99%が偽装
  • 社内の人間や取引先になりすまし、添付ファイルを開かざるを得ない内容
  • 心当たりはなくとも興味をそそられる内容(例:セキュリティに関する注意喚起、製品やサービスに関する問い合わせ、クレーム、アンケート調査など)

と、「ヒト」が思わずメールの添付ファイルやURLリンクを開いてしまうように巧妙に作られていることが挙げられる。このため、標的型メールを開封しても、当の従業員は気付いていないというケースも多いのである。

このような「ヒト」の心理を突いてくるサイバー攻撃に備えて、近年、標的型メール訓練を実施する企業が増えている。標的型メール訓練とは、従業員に標的型メールを模した訓練メールを送信し、メール本文に記載されている添付ファイルやURLリンクのクリック状況などをフィードバックするものである。弊社でも2016年からサービスを開始し、述べ契約社数は200社を超えた。

標的型メール訓練の仕様は、提供事業者によって様々であるが、訓練の目的として訓練対象者(従業員)の理解度の確認、標的型攻撃の特色の周知を図るものであることはほぼ共通する。留意頂きたいのは、添付ファイルの開封率やクリック率の高低にばかり捉われてはならないということだ。例えば、特定の役職や部門で突出して高い開封率となっていないか、前年度に実施した同訓練の結果と比較して改善がみられるかなど、訓練の結果を踏まえて自社の課題を明らかにし、改善していくことが肝要である。

また、標的型メール訓練を何回も繰り返したところで、開封率を完全にゼロにすることは難しい。そもそも、標的型訓練メールの送付のみでは、標的型攻撃の抜本的な対策にはならないのである。

標的型攻撃への対策として重要なものは以下の3点である。

①不審なメールを見分けるポイントの習得

不審なメールに気付くポイント(タイトル、送信者アドレス、メール本文の言い回し、添付ファイルの内容など)を習得させることは最低限必要である。訓練メールの送付と「種明かし」に留まらず、従業員へのフォローアップ研修を行うことも有効である。

②万が一開封した際の対応ルールの習得

前述のとおり、標的型メールの開封率をゼロにするのは困難である。万が一不審なメールを開封した際に、迅速かつ適切な対応ができるよう、初動対応の手順を役職員に習得させることも必要である。

③対応策の実効性の検証

訓練を繰り返し実施することで、上記①②の対策の実効性を検証し、組織として改善・強化を図っていく点を洗い出す。

訓練メールの送付と開封状況の検証に留まらず、訓練実施により顕在化された課題の改善を着実に実践すべく、従業員へのフォローアップ研修や企業・組織の情報セキュリティ体制・ルールの見直しを継続して行うことが必要である。それによって、標的型メール訓練もより意義のあるものになる。

以上

(2018年1月18日 三友新聞掲載記事を転載)

岡田 智之 Tomoyuki Okada
氏名
岡田 智之 Tomoyuki Okada
役職
リスクマネジメント第三部 統合リスクマネジメントグループ マネジャー・上席コンサルタント
専門領域
ERM、サービス業向けBCM、情報セキュリティ