大切なのは「クリックしてしまった後のアクション」
酒井真弓(以下、酒井):セキュリティ担当者としてどんなことを意識しているのでしょうか。
門田あおい(以下、門田):技術・組織・教育など多面かつ多層的に守ることです。全部大事ですが、特に最近では、社員を狙った攻撃が非常に大きな課題となっています。
標的型攻撃は、メールやスマートフォンへのショートメッセージなどが入り口になるケースが少なくありません。顧客や取引先などを装って悪意ある添付ファイルを開かせたり、URLをクリックさせてマルウェアに感染させたりなど、非常に単純な方法で情報が奪われ、大きな損害につながってしまう可能性があるのです。そこで弊社では、研修やeラーニングなどでセキュリティ知識を身につけてもらう座学に加え、標的型メール訓練で怪しいURLをクリックしてしまったときの対応など、適切なアクションを取ってもらうための訓練を実施しています。
オフィスだけではなく、工場でも同じように実践的な訓練を実施して、セキュリティ意識を高めています。工場のシステムの場合、ひとたびセキュリティインシデントが起きると生産が止まってしまう可能性もあるのです。そのため、サイバーセキュリティの対応も、「安全をすべてに優先させる」という基本理念のもと進めていて、通報や対応の流れ、CSIRT(Computer Security Incident Response Team)の構築など体制を整えています。
酒井真弓(以下、酒井):標的型メール訓練のアンチパターンとして、怪しいメールを開かせないことを重視するあまり、開いてしまった後どうするかがあまり周知されていないケースがあると聞いたことがありますね。
門田:以前は、変な日本語だったり文字化けしていたりして、誰がどう見ても怪しかったので、開かせない訓練も必要だったのかもしれません。しかし今は、攻撃側のスキルも高度化していて、見破るのが難しくなっています。メールを開かなくて済むのが一番ですが、メールを開いてURLをクリックしてしまった後どうするかのほうがより重要です。実践的な訓練を通して被害を最小限にとどめ、復旧する力(レジリエンス)を養うことが、真の意味でのセキュリティ強化につながると思っています。
「あれ?」と思ったら気軽に報告できる空気を醸成
酒井:様々な訓練を通して、最も重視しているポイントは何ですか?
門田:「報告を身近なものにすること」です。CSIRTの連絡先って皆さんの会社ではどこに書いてありますか? 社内ポータルサイトに載っていることが多いと思うのですが、焦っているときにそれを思い出せるかというと、難しい方も多いのではないでしょうか。CSIRTを構築して体制を整えても、現場が「あれ?」と思ったときにすぐ知らせてくれなければ、初動対応が後手に回ってしまいます。
酒井:「やっちゃった」とか「しかられる」みたいな怖さもあって、言い出せない方もいますよね。
門田:ですから、訓練を重ねて、「ちょっとでもおかしいと思ったらすぐに報告してくださいね」と何度も伝えることで、気軽に報告できる空気を作っています。一番怖いのは、何事もなかったかのように隠されてしまうことです。報告のハードルを下げることは本当に重要だと思います。
