とある社内SEの物語 敵は社内にあり!?

脆弱性の発見、標的型攻撃、ランサムウェア、不正送金、BEC詐欺と、ITセキュリティに関するニュースは毎日のように目にします。しかし、対策をしようにも、その出費を上長に納得してもらうことができない……そんな社内SEの経験談をもとに、上長の説得にはなにが必要になるのかを考えてみました。

◎標的型攻撃への対策が急務

総従業員約250名の企業で社内SEを務める内藤さん(仮名)は、年金機構の情報漏洩事件を教訓として「怪しいメールは開かないように」との社内告知を繰り返してきましたが、その効果には疑問を感じていました。
そこで、実行すると日時とPC名およびユーザー名を記録する簡単なスクリプトを自ら書き、これをメールに添付して従業員に送る「IT防災訓練」を企画しました。
この企画には上長も取締役も乗り気で、すぐに実施することとなりました。送信するメールは、IPAが公表している「標的型攻撃メールの例と見分け方」を参考に作成。防災訓練のメールは、そのために取得した無料メールアドレスから全従業員あてに配信されました。
その結果は、驚くべきものでした。全従業員のほぼ半数が添付ファイルを実行したのです。
ウイルス対策ソフトは導入済みでしたが、それでは検知できないマルウェアが実際の標的型攻撃メールに添付されてくる可能性もあります。
ひょっとしたら、すでに何らかのマルウェアに侵入されていることもあるのではないか?
そう考えた内藤さんは、すぐに対策案を考えました。

◎IPS導入の壁

どれほど啓蒙活動をしても、標的型攻撃メールにひっかかってしまう従業員は存在します。だとすれば、マルウェアの通信を遮断するIPS(侵入防止システム)を社内ネットワークに設置するしかありません。
これが内藤さんの結論でした。
幸いにも社内ネットワークにはファイアウォールが設置済みで、ライセンスさえ購入すればファイアウォールにIPSの機能を追加できます。新しくアプライアンスを購入するよりは安く済むので、出費にうるさい上長も説得できるはず……と内藤さんは考えたのです。
しかし、年間約350,000円のIPS導入を上長に提案した内藤さんは、思いがけない上司の言葉に直面することになりました。
「技術的な細かいことを言われてもよくわからない。そのIPSとかいうものを入れると100%安全になるのか?」
「いいえ、100%ではありません。でも、安全性は確実に高まります」
「今の安全性がどのくらいで、入れるとどのくらいまで高まるんだ?」
「今は対策を何もしていないので、無防備です。IPSを導入することで、まあ大丈夫、というくらいには安全になります」
「月々30,000円とは言え、そんな曖昧なことには使えない。却下だ」
内藤さんは上司という壁に直面したのででした。

◎技術にくわしくない上長の説得に必要なもの

内藤さんは悩んでいました。
従業員の約半数が添付ファイルを開いてしまう現状でセキュリティを守るには、IPSの導入は不可欠だという思いに変わりはありません。なんとかして上長を説得しなければならないのです。
悩む中で気がついたのは、上長のイメージの問題でした。本人も認めている通り、もともと上長は技術にくわしくありません。
対策にどのような意味があるのか、イメージができていないのではないか?
そう考えた内藤さんは、話をインフルエンザの予防接種にたとえて、上長の説得に再度チャレンジすることにしました。
インフルエンザの予防接種を受けても、100%感染しなくなるわけではありません。しかし、感染の可能性は減らせます。今回のIPS導入の役割は、インフルエンザの予防接種と同じなのです。
会社のネットワークが人体。標的型攻撃により社内に侵入するマルウェアが、インフルエンザウイルス。マルウェアの活動を妨害して無力化するIPSが、予防接種のワクチンの役割となります。
このたとえ話は、効果がありました。
上長はIPS導入に理解をしめすようになったのです。

◎さらなる壁

これでIPS導入に向けて前進できる、と内藤さんがホッとしたのも束の間、上長が言いました。
「インフルエンザのたとえ話はわかりやすくていいな。でも、そうなると、予防接種以外の対策はどうなっている? 予防には手洗いやうがい、感染してしまったら病院で薬をもらったり、感染を広げないために自宅待機したり、いろいろあるだろう」
ここで、内藤さんは自分の重大なミスに気づきました。
防災訓練の結果とIPSの導入ばかりを考えていて、全体像を見ていなかったのです。
内藤さんは、あらためて全体像から見直しました。
マスクの着用や手洗いのように人の行動が予防に役立つ部分は、社員教育をすることでカバーします。感染後の病院や薬、自宅待機などに該当する部分は、インシデント対策マニュアルを整備して体制を整えておくことで対応します。
標的型攻撃に対して、教育、IPS、対策マニュアル、という3本柱で備える——そんな全体プランを提示して、ようやく内藤さんは上長の説得にようやく成功したのです。

◎内藤さんに欠けていた2つの視点

この話には、大きなヒントが隠れています。
内藤さんが上長の説得に苦労した理由は、2つの視点が欠けていたからです。
1つめは、イメージの共有。問題意識や危機感といったあいまいなものを、内藤さんはきちんと相手に伝えて共有する努力をおこたっていました。IT用語やセキュリティ用語を並べても、うまく伝わらない相手は必ずいます。より身近な例を出して説明することは、イメージの共有にとても役立つことでしょう。
2つめは、全体像の把握です。現場の担当者は、目の前の事象ばかりに注目して、全体像の把握を忘れてしまいがちです。いわゆる「木を見て森を見ない」という状態では、正しい提案も判断もできなくなってしまいます。全体を見て判断を下す決裁権者たちを説得するには、時に「森を見る」ことも必要になるのです。

◎忘れられがちな「事後」のプランを準備する

セキュリティ対策の現場において思いのほか多いのは、予防措置を講じただけで対策が完了した気分になってしまうことです。ソリューションの導入をしただけでは不十分なことは言うまでもありませんが、利用者の教育をしても終わりではありません。100%の安全がありえない以上、インシデント発生時への備えが欠かせないのです。
インシデントへの対応は大きく「認知」「対応」「事後処理」の3ステップに分類されます。
いかに素早く攻撃があったことに気づくか、というのが「認知」です。インシデント発生から何ヶ月も、ときには何年も経過してから発覚することがありますが、そういうことを避けるためにも、インシデント発生に気づくための体制作りは必要です。
認知されたインシデントに対してどのような行動をとるか、というのが「対応」でです。対応が悪いと被害が拡大し、場合によっては社会的な制裁を受けることもありえます。対応を間違わないためにも、マニュアル化しておかなければいけません。
対応が終わった後には、再発防止策の検討という重要なミッションが待っています。これが事後処理の中心的な内容となります。同じ手口の攻撃で再度インシデントが発生してしまうと、社会的な信用は失墜してしまうでしょう。
以下に、「事後」のプランに参考になりそうな資料へのリンクを張っておきます。
これらをベースに、自社の現状に即した対策マニュアルを用意して、万全を機していただきたいと思います。

コンピュータセキュリティ インシデント対応ガイド(IPA 独立行政法人 情報処理推進機構)

情報漏えい発生時の対応ポイント集(IPA 独立行政法人 情報処理推進機構)

インシデントハンドリングマニュアル(JPCERT コーディネーションセンター)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です