マルウェアを持ち込んだ社員は“罪人”なのか?ここがヘンだよ、セキュリティの常識

会社のPCをマルウェアに感染させてしまったりしたら、相当、肩身が狭い思いをしますよね。でも、最近のサイバー攻撃は本当に手が込んでいるんです。

» 2018年03月23日 16時00分 公開
[吉村哲樹ITmedia]

 「主文。

被告人を叱責の刑に処す。

不審なメールに添付されたファイルを開き、会社のPCをマルウェアに感染させ、全社の情報セキュリティをリスクにさらした被告人の罪は重く、よって今後二度とこのような事態を招かぬよう、ノート1冊を『もう二度とマルウェアに感染しません』という言葉で埋めた上、『私はマルウェアを社内に持ち込んだ罪深い人間です』という看板を首から下げて社内の全部署に謝って回ること。さらに、死ぬほど恥ずかしい動画や画像が入った私物PCの中身を社内に1カ月間さらした後、ランサムウェアで100回上書きを掛けた上で「ディー、ドォースッ!」と叫びながら釘バットでたたき壊すこと」

Photo

 この判決内容について、情報システム部門は「量刑が軽すぎる」として、即刻控訴を決定したとのことです。現場からは以上です。

Photo

 ……100%ピュアな妄想に基づくフィクションですが、しかし実際に会社にマルウェアを持ち込んだ社員に対する風当たりの強さは、相当なものじゃないでしょうか。もちろん、明らかな過失や怠慢によってセキュリテイ事故を引き起こした輩は、きっちりシメるべきでしょう。誰が見ても不審だと分かるメールを何の気なしに開いちゃったり、業務中に怪しいサイトを何度も見に行ったり、外でよっぱらってノートPCを何度も紛失したり……こういう輩、実際いますしね。

 ただ最近のサイバー攻撃は本当に手が込んでいて、どれだけ気を付けていても、運が悪いと感染しちゃうんですよね。誰がどう見ても通常業務のメールとしか読み取れないような巧妙な詐欺メールやら、正規のサイトに不正コードを埋め込んだ水飲み場攻撃やら、こんなのにやられるのはもうほとんど交通事故みたいなもの。交通事故に遭った社員に対して、「お前が不注意で交通事故に遭ったから、会社はこれだけの損害を被ったんだぞ! どう責任を取るんだ!」と詰めまくる会社なんて、あまりないですよね。

Photo

 つまり、セキュリティ意識はそこそこ持っていたはずなのに、不幸にしてインシデントを引き起こしてしまった社員をつるし上げるのは理不尽だし、何より怖いのは、それによって“社内の雰囲気が変に萎縮してしまう”こと。「怒られないように、社外とのメールのやりとりはなるべく控えよう」「外にPCを持ち出して仕事するのはもうやめよう」。こうなっちゃうと、業務そのものに対する取り組みが後ろ向きになって、会社全体の収益にも悪影響が出てしまいます。

Photo

 これからのセキュリティ対策は、「感染したらアウト」ではなく、「感染してもアウトにならない仕組みを考える」ことが重要なのかもしれません。ITを使ってマルウェアの感染をきっちり検知し、ITで情報が漏えいしないよう通信を止める仕組みを用意してはじめて、「万が一」のときでも攻撃を食い止めたといえるのではないでしょうか。

 少なくとも、現場を「シメまくる」「詰めまくる」ようなやり方は、あまり得策ではなさそうです。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ