標的型攻撃への対応、正解は「ファイルを開かない」……だけではない：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

本当に重要なのは、「犯罪を見破ったあと」

　標的型攻撃のメールへの耐性を高めるための訓練で、「怪しいメールが来たら先方に確認する」という行為は、ある意味「正しい」対応です。ただ、今後はより正しい対応も考える必要があります。それは、「個々の社員が不審かどうかを判断する」のではなく、「社内の特定の部署や、“CSIRT”（Computer Security Incident Response Team）に情報を集約する、つまり「何かがあったときの報告のルートを決めておくこと」。これこそが、正しい対策なのです。

　ITに関する訓練というと、「怪しいファイルを開かない」「怪しいURLをクリックしない」「ニセモノのメールを見破る」……というように、個人が正しい判断ができるかどうかを試されるようなものだと思っているかもしれません。しかし、最近の巧妙な手口は、そう簡単に判断できないのが実情です。

　本来、ITの訓練では、「何か怪しいものを見つけたら、どこに報告すればいいのか」を現場に周知し、何かが起こったときにそれができるかどうかをチェックすべきです。この情報集約ルートがきっちり決められているなら、外部への確認をする組織が訓練であることを理解しているはずなので、その報告の数をもって訓練の成果を判断できるでしょう。

　最初に紹介した、コンビニエンスストアの特殊詐欺事件でも、訓練で同じシチュエーションに遭遇したときに正しい対応ができることもさることながら、その後、「警察に相談する」ことをきちんと伝えられたのが重要なポイントです。その点でも、この事例はすばらしいと思いました。

　ところで皆さんは、会社で「怪しいメール」や「怪しいPCの挙動」があったとき、誰に報告すればいいか知っていますか？　もし、知らないとしたら、それはトラブル時の対応について、社内で周知徹底されていないことを意味します。

　そのような状況でメール対応の訓練を行ったとしても、全く意味がありません。「メールをクリックしないかどうかだけを訓練する」「知識をつけるためのマルバツクイズ研修だけをやる」というのは、“やったつもりのセキュリティ対策”の最もありがちなもの。その前に、社内や家庭の「情報集約窓口」をはっきり決めておきましょう。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。