“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT:ITmedia エンタープライズ セキュリティセミナーレポート(2/4 ページ)
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。
その理由は、「メールに興味を持たなかったので開かなかった」「忙しくてメールを開けなかった」などの状況で開封率が変わるからだ。訓練のやり方によっても変わってくることから、「開封率ではなく、その後の対応が重要」という考えだ。
そのためJNBでは、開封率ではなく初動対応率にポイントを置いている。「初動対応」とは、LANから端末を切り離すこと。それから、セキュリティ対策室に連絡を入れると規定している。
JNBでは、標的型メールの訓練を年2回実施しており、岩本氏によれば前回の結果では、開封率が13.3%でありながら初動対応率は約80%と高い数値だったという。
この訓練では、CSIRTスタッフが知恵を絞って、“受信者側が開いてしまうようなメール」を作成する。例えば、研修が終わったばかりの時期に行った訓練では、「新人社員研修のお礼メールを新人社員が送信した」というストーリーが使われた。
メールは「研修ありがとうございました。飲みに行きたいです!」という内容もの。送信者が新人の場合、受けた側は名前に覚えがなくてもうっかり開けてしまう可能性が高い。その上、メールの送信ドメインをJNBに偽装すれば、開封率は上がる。
この程度の偽装で、メールは簡単に開封されると岩本氏。また、ビジネス文書であるにもかかわらず、「ぜひ、見てください\(^o^)/」という顔文字が入っていたとしても、「新人ならこんなものか」と、メール内のリンクをクリックしてしまうという。
男性社員には女性名、女性社員には男性名でメールを送信したところ、「役員はバンバン開いてしまった」と岩本氏。全社の開封率は13.3%だったものの、役員の開封率が全社平均を大幅に上回ったことにも触れ、「このような形で役員を巻き込むことは、啓発につながる」と説明した。
岩本氏は講演の最後に、サイバー攻撃に対する効果的な対策を紹介した。ポイントは以下の3つだ。
- 攻撃手口、対策方法を知ること
- 自分たちでやってみること
- 経営の理解を得ること
いずれも「人間力」に関するもので、岩本氏は、セキュリティ対策は業者に丸投げせず、まず自分たちでやってみることが重要だと話す。自分たちでやってみることで、“勘所”がつかめるからだ。
サイバー攻撃への対策は、スキルよりも人間力が重要であることを示して岩本氏は講演を終えた。
関連記事
- 世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス
「社員1000人の会社では何人のCSIRT担当者が必要でしょうか……」。この視点で検討していくと、失敗してしまうかもしれません。JPCERT/CCにCSIRTづくりのポイントを聞きました。 - 日本の中枢を守れ――政府のサイバー演習「CYDER」の現場
標的型サイバー攻撃などの深刻な事態で求められるのは、被害抑止に向けた的確で速やかな対応だ。中央官庁や重要インフラ企業を対象に総務省が実施しているサイバー演習の現場を取材した。
Copyright © ITmedia, Inc. All Rights Reserved.