ニュース
» 2016年07月08日 08時30分 公開

ハギーのデジタル道しるべ:「使えないシステムにカネ消えた……」 そんな状況を変えるには? (2/4)

[萩原栄幸,ITmedia]

情報セキュリティで心配な4つの傾向

 筆者は情報セキュリティのコンサルタントなので、企業経営に何ら異議を唱えることはできないが、「心配していた通りになった」というケースを数え切れないほど見てきた。情報セキュリティに限ってもあまりに数が多いが、ここ数年における顕著な傾向が4つほどある。

傾向1:論理的におかしい「あやしいメールは開くな」

「あやしいメール」を見つけるのは簡単?(写真はイメージです)

 「情報セキュリティ管理者養成コース」でこのことを言うようになったのは、現在のような「標的型メール攻撃」がほとんど認知されていない6年近くも前だ。なぜ論理的におかしいのかといえば、攻撃メールの検知を「怪しい」という人のカンに委ねているからである。もっと、もっと成すべきことが他に多々ある。「人事尽くして天命を待つ」ではないが、やるべきことを十分に対処した上で、最後の砦として人間に注意喚起するというなら納得がいく。しかし、マスコミが取り上げた団体・企業でそうした対応はほとんどなされていない。

 それにもかかわらず、インターネットで「怪しいメールの見分け方」という記事が公開された時にはビックリした。これを見て不慣れな人がアダルトメール程度を見破れるようにはなるだろうが、企業をピンポイントで狙い、多額の価値ある情報を入手しようとするサイバー犯罪組織の攻撃メールはまず無理である。彼らはこの記事をみていち早く対応をしているし、非常に優秀な数学者などを大量に雇用して攻撃メールを作り、送信している。そのような組織が、この内容について対応をしないわけがないと、なぜ気が付かないのだろうか。

 筆者は「犯罪組織を甘く見てはいけない」と進言してきたが、なかなか聞いて(理解して)いただけない……。

傾向2:「あやしいメールが届いた」で始まるサイバー演習

 近年は官公庁や大企業などでサイバー演習が大々的に行われている。実施すること自体は良いと思うが、そこで使われるシナリオの多くが、「怪しいメールを見つけた」から始まっているのだ。演習の目的は、人が「あれ? おかしいメールだ!」と気が付いた場合の対応フローを確認することにあるようだ。

 それは有意義だが、傾向1で述べたように、そもそも「あやしい」と見抜けない実情があるのに、気が付いたことを演習の出発点にするのはおかしいと思う。人間が気付けないのなら、システムが自動的にメールの内容を検査したり、サンドボックス内部で開封して挙動をチェックしたりして、それでも見抜けない攻撃メールが発生した場合の対応を確認するというシナリオの方が、はるかに現実的だろう。最近も某旅行会社で多数の情報漏えいが発生し、一時話題になった。マスコミの取材に担当者は、「政府と同じような演習も社内でもしていたが……」と発言している。それでは防げないと気が付いてほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ