セキュリティ事故に対する訓練、実施していますか?
多くの学校や企業では、地震や火事に備えて避難訓練を実施しています。災害が発生すると、速やかな初期対応が求められるため、普段から訓練しておかないとスムーズな対応はできません。
これはセキュリティについても同じです。情報漏洩などが発生したときに何をしなければいけないのか、その対応について訓練を実施してみませんか?
2 セキュリティは全員参加が必須
2.1 事例:標的型攻撃メールで求められる対応
2.2 事例:マルウェアへの感染で求められる対応
3 組織としての事故への対応を考える
4 まとめ
SNS時代における初期対応の重要性
多くの人がSNSを使うようになり、誰もが手軽に情報を発信できるようになりました。顧客がSNSで情報を発信してくれることは、企業にとっては無料で広告を出せることと同じでメリットだと考えられますが、不祥事が発生するとそれがあっという間に拡散されるデメリットでもあります。
例えば、メールの誤送信が発生したとき、これまでは関係者に対して個別に謝罪するだけで済んでいました。送信先以外の人には、誤送信したことが伝わることはなかったのです。しかし、宛先を間違えたりCCで他の人のメールアドレスを指定したりしてメールを送信したときに、その受信者によってSNSに投稿されるようになりました。SNSで拡散されると、それが多くの人に知られるようになったのです。
誤送信以外にも、様々な情報漏洩事件が発生していますが、どんな事件であれ、本人への報告や謝罪などが遅れると、「隠蔽」だという指摘を受けることもあり、速やかな対応が求められています。
一方で、情報漏洩に対応しなければならない状況は、普段の業務ではなかなか経験しません。想定もしていない事態だからと言って、事案が発生してから情報を整理して対応方法を検討していると、時間だけが過ぎてしまい、速やかに対応できないのです。
セキュリティは全員参加が必須
上記のような対応は会社の社長や広報担当者がおこなうものだと考えている人がいるかもしれません。しかし、仕事で情報を扱う以上、誰もが情報セキュリティについて意識しなければなりません。
例えば、自分の部下がメールを誤送信してしまった状況を考えましょう。部下から報告が上がったときに、上司である自分が何をしなければいけないのか想像してみてください。すでに送信してしまった以上、それを怒っても何も解決しません。個人情報保護法の改正などもあり、漏洩した件数などによって対応が変わっています。その変更点を理解しているでしょうか?
(参考:漏洩など報告・本人への通知の義務化について)
他にも、自分が使っているパソコンからウイルス対策ソフトが何か検知した、という警告が出た状況を考えましょう。このときは、自分が上司であるかどうかに関係なく、自分から行動を起こさなければなりません。最初に何をしないといけないのか、そして誰に報告しないといけないのかを想像してください。
情報セキュリティについての問題が発生したときの対応は、普段からどうするかを意識しておかないと、何から手をつけていいのかわからないものです。ウイルスに感染していた場合、対応が遅れると社内のパソコンに被害が広がっていく可能性もあります。つまり、コンピュータを使っている全員がセキュリティについての意識をもち、問題が発生したときの対応を想定しておかなければならないのです。
ただし、どんな事件が起きるのかはわかりません。そこで、いくつかのパターンを想定した訓練を実施し、シミュレーションしておくことが求められるのです。
事例:標的型攻撃メールで求められる対応
IPA(独立行政法人情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」によると、2020年まで5年連続1位となっていたのが「標的型攻撃による被害」です。2021年、2022年も連続して2位にランクインしています。標的型攻撃には様々な手法がありますが、そのなかでもメールを使った攻撃はよく使われます。
普段から仕事でやりとりするような文面のメールが届き、添付ファイルやダウンロードリンクがついています。受信者がそれを開くことによってマルウェア(コンピュータウイルス)に感染させる手法です。自分がマルウェアに感染しなくても、社内の他の人が似たようなメールを開いてしまう可能性がありますので、疑わしいメールを受け取った場合には添付ファイルなどを開かず、システム管理者などに報告・相談するようにします。
メールが送信されるだけであれば不審な文面に気づいて対応できるかもしれません。しかし、「標的型」という名のとおり、その組織を標的にして何度も執拗に攻撃される可能性があります。組織が利用しているシステムやサービスを調べて、それを狙って待ち受けている場合もあり、すべてを防ぎ続けることは大変です。
事例:マルウェアへの感染で求められる対応
対応に緊急性が求められるものとしてマルウェアへの感染があります。上記の標的型攻撃でもマルウェアが使われますが、本人は何かをダウンロードしているつもりはなく、Webサイトを閲覧しているだけだと思っていても、マルウェアをダウンロードしている可能性があります。
マルウェアに感染すると、そのパソコンに保存されているデータが外部に送信されるだけでなく、同じネットワーク内の他のコンピュータに感染が広がったり、外部にメールを送信したりします。
これらを防ぐためには、有線LANであればネットワークケーブルを抜く、無線LANであれば無効にする、などの対応が求められます。その上で、システム管理者に報告し、ウイルス対策ソフトでのチェックやシステムの初期化などが必要になることもあります。
もし原因や影響範囲を調査したい場合には、デジタルフォレンジックなどの分析が求められ、現状の保存が必要です。これも会社によって対応が異なるため、自社でどのような運用になっているのかを調べておく必要があります。
組織としての事故への対応を考える
上記のような例をすべて想定することはできませんが、いくつかのパターンを考えて、訓練を実施する方法が考えられます。例えば、日本シーサート協議会からは、「メール訓練手引書」が公開されています。
これは、標的型メールが送信されてきたことを想定して、訓練を実施するときに、どのような準備が必要なのか、その手法がまとめられた手引書です。
訓練といっても、標的型メールに似せたものを単純に社内で送ればよいわけではありません。訓練だという認識がないと、メールを不審に思った従業員が警察に通報してしまったり、文中に書かれている偽の会社と似た名前の実際の会社に連絡してしまったり、という例は少なくありません。
セキュリティに対する意識が高い会社では、システム管理担当者に報告が殺到し、その部門の業務が滞ってしまう可能性もあります。つまり、事前に訓練であることを伝えておかないとトラブルになることがあります。
訓練を実施して終わりではなく、その結果を受けて改善することが大切です。訓練メールの開封率やリンクのクリック率が低ければ問題ないわけではありません。開封率が0%になれば理想的ですが、そうなることは難しいものです。0%に近づいたとしても、これは訓練のメールであり、実際の標的型メールではより多くの人が開いてしまう可能性もあります。
まとめ
訓練というと大袈裟に思えるかもしれませんが、1年に1度のセキュリティ教育のタイミングで、集まった人でシミュレーションをするだけでも有効かもしれません。少なくとも、セキュリティ事故が発生したときの連絡先を確認しておきましょう。全員がオフィスにいるときは問題なくても、リモートワークが普及した現在では、セキュリティ担当者が自宅にいて連絡が取れない、などの状況も考えられます。
訓練を実施すると、組織としてのセキュリティ教育の実施が有効なだけでなく、社内のルールの改正や運用体制の見直しなども検討が必要かもしれません。ぜひ一度試してみてください。
増井 敏克氏(ますい としかつ)
増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。