“従業員を巻き込む”セキュリティ対策で、10大脅威に対抗せよ：半径300メートルのIT

IPAによる2023年版「情報セキュリティ10大脅威」の解説書が公開されました。10大脅威はランキングを知るだけで満足してしまいがちですが、本当に大切なのはこの後。解説書に書かれた対策を実践することなのです。

[宮田健，ITmedia]

　情報処理推進機構（IPA）は「情報セキュリティ10大脅威」の2023年版に関連した、新たに3種類の解説書を公開しました。

　本コラムの読者からすると「また10大脅威の話か……」とうんざりしているかもしれません。しかし単に10大脅威の順位を知るだけではセキュリティ対策を講じるには不十分で、実はこれから紹介するドキュメントをしっかり読むことの方が重要だったりします。ぜひ、お付き合いください。

副題「全部担当のせいとせず……」の重み

　10大脅威が発表されると、筆者は同解説書に登場する“副題”に注目します。2022年版の表紙には競馬のイラストを採用し「誰かが対策をしてくれている。そんなウマい話は、ありません！！」という副題が付けられていました。イラストの的確さもさることながら、当時人気のゲーム作品にあやかるような時事的なメッセージ性の強い、非常にうまいタイトルが付けられていることに気が付いたでしょうか。

　2023年版の解説書の副題は「全部担当のせいとせず、組織的にセキュリティ対策の足固めを」です。このメッセージには、筆者が2023年に最も重要なセキュリティのポイントになると予測したことがしっかりと含まれています。

　ニュースで度々ランサムウェア被害が報じられるようになった昨今、「セキュリティの重要性を経営層が分かってくれない」という時代は終わり、今や経営者の方がセキュリティに敏感になってきています。

　また最近は、CISO（最高情報セキュリティ責任者）やCSIRT向けのドキュメントが充実していることもあり、セキュリティ担当者やシステム管理者がこれまで苦労していた「重要性が伝わるよう、経営者の言葉でセキュリティを解説できるようにしよう」という取り組みについても地固めが進んでいるように思えます。

　そうなると、後はこれまで10大脅威など気にも留めなかったであろう、組織の大多数を占める“従業員”に課題が移ってきます。それが、副題の「全部担当のせいとせず……」という短い文言でまとめられているのです。

これだけはまずやるべき　10大脅威に有効なセキュリティ対策

　ここでもう一度、2023年版10大脅威のランキングを引用しましょう。あくまでこのランキングはこのコンテンツの入口であり、本当の狙いは脅威対策にあります。解説書こそが本丸なのです。

情報セキュリティ10大脅威 2023（出典：IPAのWebサイト）

　その観点で同解説書はどう対策を考えていくかという点も踏まえ、それぞれの脅威をしっかりと説明しています。注目したいのは、組織（システム管理者、従業員）における対策や対応において、当たり前といえば当たり前ですがほぼ全てに「適切な報告、連絡、相談を行う」という項目が含まれている点です。

　同解説書巻末では「『情報セキュリティ対策の基本』と『共通対策』」として、ランキングの脅威に対する基本的な対策が幾つか挙げられています。「適切な報告、連絡、相談を行う」もここに含まれます。

複数の脅威に有効なセキュリティ対策（出典：「情報セキュリティ10大脅威 2023」解説書　「情報セキュリティ対策の基本」 と「共通対策」より）

　筆者としては、ここで挙がっている全ての対策を全従業員が頭の片隅に置いてほしいのですが、なかなか難しいのが実情です。そのため特に優先順位が高いものを選ぶとなると、やはり「適切な報告、連絡、相談を行う」となります。これは物理的に「大きな声を上げる」という方法でも実現できるはずで、ある意味で一番簡単なものです。

　例えば、取引先から普段とは異なる内容でメールが届いたり、いつもと違う流れで処理が依頼されたりするなど、従業員しか感じ得ない「違和感」があったとき、「これ、何かおかしくないですか？」と声を上げるだけでも良いのです。

　人のセンサーは非常に有能で「勘」や「経験」がものをいうので、ベテランの方がより気付きやすいはずです。そしてこの対策は、大きな声を出せば全員が聞こえるような、ワンフロアにおさまる小さな企業であればさらに効果的です。従業員のセキュリティリテラシーによっては、「サイバー攻撃を受けていること」に気付かないケースもしばしばあります。その際に違和感レベルでも声を上げられれば、みんなで脅威を見つけ出せるかもしれません。

　ただ、これを実践するためには組織として以下の2つに注意する必要があるでしょう。一つは「どんなに小さな違和感でも責めないこと」です。声を上げることに対し、「間違えていたらどうしよう」と従業員に思わせてしまってはこの対策は使えません。これは経営者レベルから鶴の一声で組織をまとめることで対処できるのではないでしょうか。

　もう一つは、少しの違和感も見逃さない運用になるため、大量の（従業員による）アラートに対処する必要があるということです。EDR（Endpoint Detection and Response）における誤検知／過検知問題と同様に、大量のアラートが上がれば担当者は疲弊してしまいます。そのため平時のうちに、あらかじめ攻撃手法の情報をまとめたり、自分たちの手に負えない場合の問い合わせルートをまとめておいたりするとよいでしょう。

　特に付き合いのあるベンダーやパートナーに問い合わせるルートを確保しておくと何か起きたときの動きがスムーズになります。付き合いのあるベンダーがいなければ、所属する商工会議所に聞いてみるのも一つの手です。同業者に同じような攻撃がきていれば、そこで情報のやりとりができます。

　この取り組みがうまくいけば、人的ネットワークによるEDRが実現できます。人という優秀なセンサーによる情報を中央に集め、処理していく。不明な情報は専門家に聞き、さらに組織間で共有して注意喚起する――これはいつの間にかSOCやCSIRTを構築できていたという理想的なパターンでしょう。

　こう考えると、情報セキュリティ10大脅威の意義がより明確になるのではないでしょうか。その第一歩は、担当者だけでなく従業員全員がこの仕組みの中に入っていくことです。「自分ごと」としてセキュリティを考える――。これこそが、2023年に必要なことだと、筆者は考えています。

　そのためには、新たに公開されたドキュメントが第一歩になります。IPAはこれからさらに「情報セキュリティ10大脅威 2023」解説書の個人編（2023年3月中旬予定）、「知っておきたい用語や仕組み」（5月下旬予定）も公開予定です。従業員の意識を高めるには、従業員個人のメリットにもなることが必要かもしれません。その意味では、個人を（主に個人のスマートフォンとそこからつながる資産を）守る方法を、企業組織が一緒に考えるという方法論も良いのではないでしょうか。ぜひ、皆さんもセキュリティに興味を持ち、組織も家族も守る方法を学んでみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。