第22回従業員が最後のとりで!
標的型メール訓練の真の価値とは
他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、攻撃者の目線でセキュリティ対策について考えます。
株式会社トライコーダ 代表取締役
上野 宣 氏
奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。
従業員の対応力を高める
皆さんの組織では「標的型メール訓練」を実施したこと、あるいは実施を検討したことはありますか。
標的型メール訓練は、不審なメールに対する従業員の対応力を向上させるためのものです。企業のセキュリティレベルを向上させるための重要な訓練ですが、従業員の反応はどうでしょうか。「面倒だ」「またか」といった反応を示す従業員も少なくないのではありませんか。
せっかく実施する標的型メール訓練ですので、より意味を感じ、より効果的にするために、その真価について知っておきましょう。なぜ標的型メール訓練を実施するのでしょうか。そして、標的型メール訓練を効果的に行う方法とはどのようなものでしょうか。
攻撃にはメールが多用される
不審なメールに対応する訓練を行う理由は、攻撃者が企業内ネットワークに侵入する際の経路として、メールを多用するからです。
一般的な企業内ネットワークでは、プライベートIPアドレスを使用していたり、ファイアウォールが存在していることによって、インターネット側からは直接アクセスすることができません。これは攻撃者も同様です。直接インターネット側から企業内ネットワークの端末に攻撃を仕掛けることはできないため、攻撃者は従業員の端末にマルウェアを仕掛けます。従業員の端末から攻撃者の司令塔となるC2サーバーに接続し、遠隔操作を行う必要があります。
また、攻撃者が、ターゲット企業が利用しているクラウドサービス上の情報を不正に取得するために、脆弱性を悪用したり、パスワードを推測する必要があります。しかし、これらの行為は容易ではありません。そのため、従業員をだましてフィッシングサイトへ誘導し、ユーザーIDやパスワードなどを盗み取ろうとします。
このとき、従業員の端末に直接マルウェアを感染させるため、マルウェアをメールに添付したり、フィッシングサイトに誘導するURLを記載したメールを送付したりします。攻撃者は、企業内ネットワークに侵入する際、メールを多用するのです。
訓練だけでは効果がない
まず、メールを使った攻撃に対して、従業員の対応力“だけ”に頼るのはやめましょう。メールを使った攻撃に対する有効な対策は以下のとおりです。「➊ 技術的対策」から順に優先的に実施する必要があります。
➊ 技術的対策
・ 端末・サーバーの設定や製品の導入などによって脅威を低減
❷ 技術的に止められない場合の対策
・ インシデント対応力の強化
・ 監視による検知・遮断
・ 報告の周知徹底
❸ 認知能力(知識・経験)の向上
・ 教育・訓練の“継続”
・ メール開封前の確認手段を規定
❹ その他
・ ルールの周知徹底
・ モニタリングの強化
・ 技術的な個別制限
訓練はあくまで、不審なメールに対する認知能力(知識・経験)を高め、従業員自身が脅威を判断するセンサーの精度を向上させ、アラートを上げることを目的としています。
従業員は最後のとりで
「➊ 技術的対策」と「❷ 技術的に止められない場合の対策」を実施したとしても、それをすり抜けてくる巧みな標的型メールも存在します。そのとき、最後のとりでとなるのが従業員なのです。
従業員が、フィッシングメールやフィッシングサイトの判別を確実に行うことができれば、被害を大きく抑制することができます。全従業員が確実に判別できるようにすることは難しいですが、判別能力を向上させることは可能です。標的型メール被害を抑制するために、従業員に対する教育が必要となります。
従業員が標的型メールにだまされないために必要な教育は以下のとおりです。
- 標的型メールの特徴と手口の理解
- 疑わしいメールの見分け方
- 不審なメールの発見や怪しいメールを開いたり、URLをクリックしてしまった場合の具体的な行動指針
- 疑わしいことは報告を行うというセキュリティ文化の醸成
これらを従業員が理解した上で、標的型メール訓練を実施する必要があります。
標的型メール訓練は、教育内容に対する実践的な確認手段となるのです。
避難訓練のように何度も繰り返すことに意味がある
小学生の頃に学校などで避難訓練を実施したのを覚えているでしょうか。高学年にもなってくると、訓練に慣れてきて「また訓練か」といった感じで校庭に避難したのではないでしょうか。しかし、入学したての1年生はどうでしょうか。その学校の避難経路や避難場所、避難の手順なども初めて経験することです。避難するという行為すら新鮮だったかもしれません。
標的型メール訓練も避難訓練と同じです。標的型メールの一般的な対応能力以外に、その会社のポリシーやルールを理解してもらうことに意味があるのです。また、標的型メールのことを忘れた頃に再度意識を高めるために、何度も訓練を繰り返すことにも意味があります。
標的型メール訓練の詳細については、一般社団法人日本シーサート協議会が公開している「メール訓練手引書※1」を参考にしてください。
(「SKYSEA Client View NEWS Vol.99」 2024年11月掲載)