標的型攻撃メール訓練と同時に必ずやるべき重要な事とは

社員や職員がインターネット接続する環境がVDI(仮想デスクトップインフラストラクチャー)などではなく彼らの手元にあるリアルなPCが、ハブやルーター、ファイアーウォール等を介して直接インターネットに接続されているというハイリスクな環境のために、標的型攻撃メール訓練を内製あるいは外注で実施しようとした時の、一般的な手順は以下のようなものでしょう。

  1. 標的型攻撃メール訓練の前に、標的型攻撃メールに対する注意喚起を行う
  2. 模擬標的型攻撃メールを送信
  3. 標的型攻撃メール訓練を実施したことを周知

*2.3を繰り返すプランもある

しかし、これだけでは、標的型攻撃メール訓練の実施効果は大して得られません。セキュリティベンダーの訓練プランに従うだけでなく、情報セキュリティ担当者は、自分の会社組織を守るための、効果的な訓練をプランニングすることが重要です。

模擬標的型攻撃メールを送信するだけでは組織を守れない

会社や企業、組織で初めて標的型攻撃メール訓練を実施しようと考える場合、標的型攻撃メール訓練にもっとも期待するのは、標的型攻撃メールが送られてきても、組織の人がその標的型攻撃メールにひっかからないようになること、だと思います。

私もはじめて標的型攻撃メール訓練を実施した時は、そう思っていました。しかし、標的型攻撃メール訓練を実施すると分かりますが、必ずひっかかって添付ファイルを開封したり、本文に記載されたURLリンクをたどって模擬マルウェアダウンロードサイトを閲覧したりする人が一定数存在します。

100人中100人が、どう見ても不審だと感じる変なメールなら、誰一人として標的型攻撃メールにはひっかからないですが、最近の標的型攻撃メールは、誰かはひっかかってしまう内容で送られてきますので、例え毎年毎年標的型攻撃メール訓練を実施しても、悪意ある第三者に、組織のメールユーザー25人ほどがターゲットにされてしまえば、そのうちの誰かは、まんまと添付ファイルを開封したり、本文に記載されたURLリンクをたどって模擬マルウェアダウンロードサイトを閲覧したりすることになるのです。

つまり、模擬標的型攻撃メールをいくら送信しても、残念ながら標的型攻撃メールから組織を無傷で守ることは出来ないのです。しかし、模擬標的型攻撃メールの送信と一緒に、いくつかの事を行えば、標的型攻撃メール訓練の効果を高める事が出来ます。

標的型攻撃メール訓練と同時に必ずやるべき事

1.ウイルス感染が疑われる時の事後対応手順の確認

もしも、不審なメールの添付ファイルを開封、あるいは本文中のWebサイトのリンクをクリックしてしまったときは、事後の対応が非常に重要です。組織によって、ウイルス感染時の対応手順には差があると思いますが、少なくとも以下の手順だけは組織のE-メールユーザー全員に周知しておき、実際のサイバー攻撃を受けた際に、自分が何をすべきか、を理解してもらいます。「標的型攻撃メールにご注意」というだけの注意喚起だけでなく、組織で策定した事後対応手順も一緒に周知する場として訓練を実施する事により、標的型攻撃メール訓練の効果は高まります。

ウイルス感染が疑われる時の事後対応手順(案)

  1. LANケーブルを抜き、(部署の責任者等)に報告する。
  2. 報告を受けた(部署の責任者等)は、(自組織の情報管理部門等)へ報告する。
ウイルスに感染したかもしれない、という違和感がある場合の対応であり、ウイルス対策ソフトのアラートが出た場合はもちろん、そうでない場合でも、「何か変だな」と感じれば、PCからLANケーブルを抜き、組織のルールに従い報告することを、組織のE-メールユーザーに習慣付けることが大切です。

2.インシデント発生時の連絡体制や報告方法の確認

もう一つ、標的型攻撃メール訓練と同時に必ず行う事で、標的型攻撃メール訓練の効果を高められるのが、インシデント発生時の連絡体制や報告方法の確認です。多くの組織では、担当者から連絡を受けた部署の責任者等が情報管理部門へ迅速に報告を行うルールになっていると思います。

しかし、実際に標的型攻撃メール等のサイバー攻撃によるインシデントが発生した場合、このルールが守られず、報告が遅れることにより、二次被害が拡大してしまう事案が後を絶ちません。よって標的型攻撃メール訓練と同時にインシデント発生時の報告訓練を同時に行い、事後対策の重要性を組織内に周知し、インシデント発生時の連絡体制や報告様式の再確認を行う場とすることで、サイバー攻撃に対応する訓練としての相乗効果が生まれるのです。

事前に部署の責任者等には訓練内容を説明しておく

インシデント発生時の報告訓練を同時に行う場合、事前に部署の責任者等に、訓練当日に部下から標的型攻撃メールに対する報告があった場合の対応方法を説明しておく必要があります。情報管理部門のどこの部署にどのように報告を行うのかを説明し、訓練当日の自分の職責とインシデント対応手順をしっかりと理解してもらいます。こうすることで、実際にサイバー攻撃を受けたり、情報漏えい事故が発生した場合に、迅速な報告を行う事を身に付けてもらうのです。

標的型攻撃メール訓練と同時に必ずやる事のまとめ

以上のように、標的型攻撃メール訓練と同時に行う事で訓練効果を高める方法をお話ししましたが、ウイルス感染等の恐れがある場合の対応手順やインシデント発生時の連絡体制や報告方法を策定していないという組織や会社も少なくないでしょう。例えそうであっても、けっして大げさで複雑な内容を考える必要はありません。情報管理部門がないなら、経営層への報告に置き換えて読み直してください。

自分の組織や会社では、ウイルス感染等の恐れがある場合に、最低限どんな事後対策を行い、誰にどのように報告するのか、それだけでもルールを決めて、組織や会社全体に周知して共有出来ている事が何よりも重要です。

もし、あなたの会社や組織でサイバー攻撃に対する事後対応のルールが定められていなければ、標的型攻撃メール訓練だけを行う意味はほとんどないと言えます。
標的型メール攻撃対策

こんな記事も一緒に読んで欲しい!

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。私の実体験を交えながら情報セキュリティ対策を解説しています。

arisaをフォローする
arisaをフォローする
情報セキュリティ対策の真実

コメント