「使えないシステムにカネ消えた……」 そんな状況を変えるには？：ハギーのデジタル道しるべ（2/4 ページ）

[萩原栄幸，ITmedia]

情報セキュリティで心配な4つの傾向

　筆者は情報セキュリティのコンサルタントなので、企業経営に何ら異議を唱えることはできないが、「心配していた通りになった」というケースを数え切れないほど見てきた。情報セキュリティに限ってもあまりに数が多いが、ここ数年における顕著な傾向が4つほどある。

傾向1：論理的におかしい「あやしいメールは開くな」

「あやしいメール」を見つけるのは簡単？（写真はイメージです）

　「情報セキュリティ管理者養成コース」でこのことを言うようになったのは、現在のような「標的型メール攻撃」がほとんど認知されていない6年近くも前だ。なぜ論理的におかしいのかといえば、攻撃メールの検知を「怪しい」という人のカンに委ねているからである。もっと、もっと成すべきことが他に多々ある。「人事尽くして天命を待つ」ではないが、やるべきことを十分に対処した上で、最後の砦として人間に注意喚起するというなら納得がいく。しかし、マスコミが取り上げた団体・企業でそうした対応はほとんどなされていない。

　それにもかかわらず、インターネットで「怪しいメールの見分け方」という記事が公開された時にはビックリした。これを見て不慣れな人がアダルトメール程度を見破れるようにはなるだろうが、企業をピンポイントで狙い、多額の価値ある情報を入手しようとするサイバー犯罪組織の攻撃メールはまず無理である。彼らはこの記事をみていち早く対応をしているし、非常に優秀な数学者などを大量に雇用して攻撃メールを作り、送信している。そのような組織が、この内容について対応をしないわけがないと、なぜ気が付かないのだろうか。

　筆者は「犯罪組織を甘く見てはいけない」と進言してきたが、なかなか聞いて（理解して）いただけない……。

傾向2：「あやしいメールが届いた」で始まるサイバー演習

　近年は官公庁や大企業などでサイバー演習が大々的に行われている。実施すること自体は良いと思うが、そこで使われるシナリオの多くが、「怪しいメールを見つけた」から始まっているのだ。演習の目的は、人が「あれ？　おかしいメールだ！」と気が付いた場合の対応フローを確認することにあるようだ。

　それは有意義だが、傾向1で述べたように、そもそも「あやしい」と見抜けない実情があるのに、気が付いたことを演習の出発点にするのはおかしいと思う。人間が気付けないのなら、システムが自動的にメールの内容を検査したり、サンドボックス内部で開封して挙動をチェックしたりして、それでも見抜けない攻撃メールが発生した場合の対応を確認するというシナリオの方が、はるかに現実的だろう。最近も某旅行会社で多数の情報漏えいが発生し、一時話題になった。マスコミの取材に担当者は、「政府と同じような演習も社内でもしていたが……」と発言している。それでは防げないと気が付いてほしい。