サイバー攻撃被害の責任は社員個人が負うべきなのか?
―サイバー攻撃の脅威が指摘されて久しくなりますが、被害が後を絶ちません。昨年末には日本企業がビジネスメール詐欺に遭い、数億円をだまし取られた事件も起こりました。こうした場合に「怪しいメールは開くべきではない」と言われますが、最近のビジネスメール詐欺や標的型攻撃はかなり巧妙になっているそうですね。
辻 そのとおりです。私はあまり巧妙という言葉を使いたくありません。なんだか褒めているようで。ただし、これらを避けようとしても難しいほど手の込んだものになっているのは確かです。
たとえば、過去であれば標的型攻撃のメールの文面も英文であったり、日本語がたどたどしかったりと、わかりやすかったのですが、近ごろは日本の企業がやりとりしているメールをそのままコピーして日付や固有名詞だけ差し替えているものがあります。「詳しくは別添の資料をご覧ください」と言われて添付されている資料も、日本の企業の文書をコピーしたもので、文面は当たり障りのないものですが、ファイルを開くとウイルスに感染してしまいます。
また、ビジネスメール詐欺では、メールを盗み見たりアカウントを乗っ取ることによって、支払先企業が請求書を送付したタイミングで、取引先になりすまし、「振込先口座を変更した」といったメールを担当者に送り信じさせるという手口がよくあります。
―架空請求や、IDやパスワードを入力させるようなばらまき型のメールと異なり、かなり高度ですね。そこまでされると気をつけろと言われてもなかなか容易ではありません。誰もが信じてしまいそうです。その場合の責任は、メールを受け取って反応してしまった社員個人が負うことになるのでしょうか。
辻 対応は企業によってまちまちです。被害の内容によっても異なります。個人の責任を問わないという企業もあれば、何らかの処罰を行うというところもあります。ここで気をつけなければならないのは、個人に責任を負わせる場合、処罰を恐れて報告しないケースが出てくることです。そうなると、被害に遭った事実が隠されるだけでなく、その対策のための情報共有も進みません。
社員を守りながら、堅牢性と利便性を両立させるには
―お話しを伺っていると、多様化するリスクに対して、人ができることには限界があるし、多層防御でも防ぎきれないように思います。
辻 どこかに不具合があるのでパッチを当てるということでは、まさに継ぎ当てになります。基本ソフト(OS)に脆弱性があるといった場合の修正プログラムなら、対処すればその方法では侵入できなくなりますが、人間に当てるパッチはありませんからね。
一方で、前述したビジネスメール詐欺などはヘッダーや文面などでは判断できないため、機械をすり抜けがちです。その点では、機械が得意なところは機械が、人が得意なところは人が判断するといった切り分けも必要でしょう。
犯罪者から送付されたウイルスメールであり、メール内のリンクはマルウェア感染につながるものなのでたとえ有名な企業やサービスを謳ったメールでもクリックしないようにしたい
―メールだけでなく、Webサイトを閲覧しただけでウイルスに感染する「水飲み場攻撃」などもあり、無意識のうちに被害に遭うケースもあるそうです。最近、これらに対応できそうなソリューションがデジタルアーツから登場していますね。
辻 偽装メールを判定し振り分けたり、不審なURLのアクセス許可を判定するような機能を持っています。また、両者が1社の一貫したソリューションで提供されているのが大きな特色だと思います。
ここで大きなポイントになるのが、堅牢性と利便性の両立です。メール判定のルールを厳しくした結果、顧客からのメールが届かなくなっては業務に支障が出ます。一方で、特定のプログラミング言語で書かれたファイルやExcelのマクロが添付されていなかったからといって、一般的なビジネスパーソンは困らないでしょう。だったら最初からそれらを取り除いてしまえばいいのです。
Webに関しても、業務で閲覧するサイトは限られています。最初はやや厳しめにしておいて、必要に応じてフレキシブルにアクセス許可の範囲を広げていけば、利便性を損なうこともありません。
大切なのは、ユーザーが意識しなくても、堅牢性と利便性を両立できることです。むろん、そのためには自社や自部門にとって、どのような情報が必要なのかを見極めることが大事です。その点では、マネジメント層や経営者層にももっと関与して欲しいと思います。
―ユーザーが意識せず全てのメール、Webを安全に開けるのであれば、社員のIT教育も不要になり、コストも削減できますね。本日はどうもありがとうございました。
