Digital Arts News Watch

標的型攻撃対策は、まずは現場従業員に対する情報セキュリティ教育から

企業の大事な情報資産を、悪意のある攻撃者から守るための情報セキュリティ対策には、さまざまな取り組みがあります。個々の具体的な対策の種類は極めて広範に及びますが、大きくは「検知」「防御」「教育」の3つのカテゴリに分けることができます。

このうち「検知」と「防御」に関しては、多くの方が具体的なイメージを描きやすいのではないでしょうか。例えばIDS／IPSや、SIEMなどに代表されるログ統合管理ツールなどは、まさにマルウェアの侵入を「検知」するための製品です。またファイアウォールやプロキシサーバーなどを使って、社内に侵入したマルウェアが外部のサーバーへ情報を送信することを阻止する取り組みは、「防御」の施策に位置付けられるでしょう。

このように、検知や防御の取り組みはシステム的な「目に見える」対策なので、多くの方にとってイメージしやすく、よって対策にも乗り出しやすいといえます。しかしもう1つの「教育」は、システム的な対策ではなく「組織的な対策」なので、その効果が目に見えにくい面があります。特にIT担当者や情報セキュリティ担当者は、とかくシステム面に目が行きがちなので、教育に関してこれまでは比較的軽視されてきたかもしれません。

しかし近年、特定の企業をターゲットにして機密情報や個人情報を盗み出す「標的型攻撃」が猛威を振るうようになるに従い、情報セキュリティ教育が持つ重要性があらためてクローズアップされています。標的型攻撃の多くは、マルウェアを仕込んだファイルをメールに添付して社内の従業員に送りつけ、そのファイルを開封させることで侵入の突破口を開きます。従って、攻撃の初弾を回避するには、まずは疑わしいメールの添付ファイルを開かなければいいわけです。

しかし近年の標的型攻撃は手口が実に巧妙で、送信元として社内関係者や取引先の名前を騙ったり、あたかも業務上参照せざるを得ないようなファイル名を付けるなど、あの手この手でファイルを開かせようとします。こうした高度な手口を見破り、マルウェアの侵入を防ぐには、メールを実際に受け取る個々の従業員のセキュリティ意識を高める以外に手はありません。

こうした理由から、近年企業の従業員に対するセキュリティ教育の重要性があらためてクローズアップされているのです。セキュリティベンダーも企業向けのさまざまな教育サービスを提供するようになり、国内屈指の技術力を誇るラックも、これまでのナレッジを用いて標的型攻撃を想定したさまざまな研修や教育コースをお客様向けに用意しています。

1日1回必ず情報セキュリティに関するテスト問題に答えさせる

確かに、従業員にセキュリティ教育のプログラムを定期的に受けさせることで、一定の教育効果は期待できます。しかし、講義やeラーニング形式の教育プログラムの効果は、人によって異なるのも事実です。教育プログラムを受けたことで、その後セキュリティ意識が飛躍的に向上する従業員がいる一方で、受講直後は気を付けるものの、時間が経つにつれ徐々にセキュリティ意識が薄まっていく従業員もいます。中には日頃の忙しさを理由に、受講そのものを何とかして回避したいともくろむ従業員も少なくないかもしれません。

こうした「温度差」はある程度は仕方がないのかもしれませんが、攻撃者は企業側のこうした都合を決して考慮してはくれません。1人でもセキュリティ意識が低い従業員がいれば、そこが即時にセキュリティホールに直結する危険性があるのです。実効性のあるセキュリティ教育を行うためには、やはりすべての従業員に対して満遍なく一定以上の教育効果が期待できる施策を講じるべきでしょう。

そのためには、年に1、2回の教育プログラム受講時だけでなく、日々の仕事の中で従業員1人1人が常にセキュリティ対策の重要性を意識できるような取り組みが有効です。Webフィルタリングソフト「i-FILTER」には、そのための機能「Test Board」が備わっています。

「i-FILTER」はもともと、危険なサイトや業務に関係がないサイトへのアクセスを制御・監視するためのWebフィルタリング製品として開発されましたが、現在ではそれだけに留まらず、実に広範なセキュリティ機能を包含しています。「Test Board」も、そうした機能の1つで、ユーザーが社内ネットワークからインターネットへのアクセスを試みた際、その日の初回アクセス時に情報セキュリティに関するテスト問題を提示し、それを解かないとインターネットへのアクセスを許さないという機能です。

これによってユーザーは1日に1回、ほぼ必ず情報セキュリティについて考える機会を持ちます。こうした日々の積み重ねの中から、真の意味でのセキュリティ意識が芽生えてくる。こうした考えに基づき、私たちは「i-FILTER」にこの機能を実装しました。

ちなみにユーザーに提示される問題は、一般社団法人インターネット協会や特定非営利活動法人日本ネットワークセキュリティ協会、日本サード・パーティ株式会社からサンプル提供を受けたものであり、内容については折り紙付きですし、管理者が自ら問題を用意する必要もありません。

興味をお持ちの方はぜひ「i-FILTER」の製品ページをご参照ください。
＜「i-FILTER」製品担当：遠藤＞

「i-FILTER」の詳細は製品紹介ページをご確認ください。