標的型メール訓練などの壮大な勘違いをいかに是正するか
― セミナーでは、壮大な勘違いの下に行われるセキュリティ対策についても解説いただけるようですね。
蔵本 はい。いくつか、勘違い的なお話をちょっとしようかと思うんですけど。まずメールの話からいきましょか。みなさんご存じかと思うんですけど、いわゆる標的型メールっていうのが飛んできますよね。
― ええ。標的型攻撃ですね。
蔵本 そうするとですね、メールで攻撃が来るんやから、変なメールを開かんように訓練して周知徹底したらええんちゃうか、というのがまずぱっと思いつくんですね。
― 標的型メールを開かなければいいわけだから、開かないように社員を訓練しよう、となるわけですね。
蔵本 そういう流れですね。で、開封率を下げることにやっきになってしまうと。問題はそれでホンマに効果があるんかってことですけど、例えば、訓練しまくった甲斐あって開封率1%の社員育成に成功したとして考えてみましょか。1000台のPCがある環境で開封率1%ていうと10台やられる計算になりますよね。
― そうなりますね。
蔵本 最近のサイバー攻撃って、やられた後に公表されているレポートとか読んだらわかりますけど、最初にやられたPCを踏み台にして別のPCにどんどん感染を広げていくんですよ。という事は、1000台のPCでメールを受信して、そのうち1%の人らが開封してしまって、10台感染したとすると、攻撃者的にはその10台を足掛かりにして感染を広げていけばいいって事になりますよね。だからこれ、標的型メール訓練をやってですね、「うちではメールの開封率が10%から1%に下がりました!」ってなっても、期待しているようなセキュリティ対策の効果は出ないんすよ。最初の足掛かりは減りますけどね。
― そうですね。
蔵本 ちなみに攻撃くらってからどれぐらいの時間で他のPCに感染が広がるかって知ってはります?
― いえ、どれぐらいですか?
蔵本 8時間以下と言われてます。
― はやい…。
蔵本 そうなんすよ。ということは、開いてしまったら開いてしまったとちゃんと報告して、どれぐらいの時間で事故対応チームが対応してくれるかってことがすごい重要だと思うんですよね。でも、ほとんどの標的型メール訓練ではそんなことやってない。メール開いたら怒られる。怒られるから報告しない。ってめっちゃ悪循環ですよね。
― じゃあ、標的型訓練ってやりかたは、ほとんど間違ってる…。
蔵本 ……ということなんですよね。だから、「うちの会社はどんなメールがきても、メール、絶対見ぃひんぞ」みたいな会社があれば別ですよ(笑)。でもそれじゃ仕事になりませんからね。だからこれ、開く前提で考えましょうねっていうことなんです。いろいろ判別が難しくなっていく標的型メールを人間が判別して開封したら怒られるっていう対策よりも開封する前提で対策する方が合理的ですよね。
― なるほどー。で、こういう勘違いが蔓延していると。
蔵本 よくよく考えたらみんないろいろ当たり前のように言っているけど、ちょっとほんまに正しいの?っていうのが、あるんですね。たとえば、ウイルス対策ソフトも業界ナンバーワンの検知率だったとしても100%じゃないですからね。という事は結局感染する前提での対策をする必要があるんですよね。検知率いいやつ入れているから俺の会社は無敵だみたいな論理は通じないわけですよ。僕はよく車で例えるんですけど、みなさん車乗るとき、事故らんように気を付けて運転しますけど、万が一に備えてシートベルトとかエアバッグありますよね。今のサイバーセキュリティも全く同じ事が言えると思うんですよ。でもなんでか知らんけど「とにかく事故るな!」みたいになってしまってる。
― そういう勘違い、わかっていても是正できないみたいなこともあると思うんですよ。あの、パスワード後送します、とか、意味がないなと思いつつ、送ってしまう。どうしたらいいのか……そんなことについてもセミナーで学べる…?
蔵本 もちろんです。
