セキュリティの新しい風 ～Birds of a feather～
第二回　"教育"は最大の防御通達を社員は読んで心に留めているのだろうか？

標的型メール攻撃での教育・訓練例

注意喚起でもそうだが、集合教育・訓練でも全ての関係者が、関心を持ってくれているとは限らない。最近は、組織内の全員がコンピュータの利用者だと考えれば、教育・訓練はもとより、情報提供等は、個人だけを対象にするのではなく、グループでの「気づき」を考えることが大切になる。 一例として、標的型メール攻撃の訓練を考えてみると、

① 最近の標的型メールは、メール内容も正しい日本語で書かれており、「不審なメール」や「おかしなメール」は皆無と考えられる。そのため、「不信なメール／おかしなメール」はないと考え、教育・訓練を行う必要がある。

② 標的型メール訓練の目的を明確にし、それを訓練者に理解させる。 標的型メール訓練の目的は、添付ファイルや埋込URLのクリック率を下げることだけではない。勿論、利用者が添付ファイルや埋込URLをクリックしないことが望ましいが、全ての利用者が常にクリックしないことなど考えることは不可能である。（図表５参照）

③ クリックしてしまった場合、どの様な対応をするかも考える必要がある。クリック率を下げることばかり考えた訓練を行い、「クリックした利用者が悪い」ことになれば、クリックしても報告をしなくなる恐れがある。「ヒューマンエラー」では、しばしばエラーをした者が悪い。「緊張感を持ってやっていない」等と言われ、個人の責任追及になることがある。しかし、それを実行する環境や組織体制に問題があることが多い。誰か利用者がクリックしても、それを言える環境を構築することも大切になる。 誤ってクリックしても、おかしいと感じた場合、その報告により、迅速な対応ができれば、被害を食い止められる可能性がある。

④ 2016年6月に発覚した旅行業者の標的型メール攻撃では、毎月訓練をしていたと言われているが、「クリック率を下げる」ことが中心だったように感じる。この事件では、送付されてきたメールアドレスは、国内大手航空会社からになっており、メッセージの内容もおかしくなかったが、添付ファイルは旅行業者に関係ない内容であったため、当社に関係ないとメールを返信した。しかし、返送先メールアドレスがないという「メール未達」のメッセージが返ってきた。 訓練が単なるクリック率だけでなく、クリックした後におかしいと感じたら、どの様な対応をするかの訓練が行われていれば、今回の情報漏えいを防ぐことができた可能性が高い。 例えば、メール未達やPDFファイルをクリックしても何も表示されない、プログラム実行を求めてきた等の対応を考えた訓練が必要であった。また、この旅行業者では、セキュリティ報告を行うべき「セキュリティ部門」がなかったとも言われている。グループ全体の売上げの7% 程度の子会社であったが、インターネットによる旅行予約の増大を考えれば、グループ全体で対応できる仕組みを構築すべきであった。

⑤ １つのメールアドレスに来ても、おかしいと感じたら、周りにいる人や報告／相談できるセキュリティ部門等に連絡や相談することにより、迅速な対応が可能になる。

⑥ 複数のメールアドレスに来た場合であれば、周りに不信なメールの注意喚起を行うと同時にセキュリティ部門等へ連絡を行う。