そのような場合に取るべきアクションをマニュアル化し、日頃からトレーニングすることが重要になると辻氏はいう。
訓練で「引っかかった人をさらし上げる」はNG
「火災訓練では火事が発生した後の対応を訓練しますよね。どこに逃げるのか、避難時には何に注意するのかを繰り返し訓練することで、いざというときに適切な対応を取れる可能性が上がります。同様に、フィッシングなどの被害が発生した場合にどう動くべきかを訓練していれば、ルールに沿った対応ができるようになります。
一方で、火災を起こさないようにするための訓練がないのと同じように、メールが怪しいかどうかを見極めるためにやるのは訓練では100%被害を防ぐことは困難です」
被害発生後の対応でもっとも重要になるのは、「被害を隠さないこと」だと辻氏は言う。
「フィッシングメールに対応する訓練が行われ始めた頃に、一部の企業ではフィッシングに引っかかった人数の多い部署をさらし上げるようなことをするケースが見受けられました。それはやってはいけない対応です。そんなことをしていたら、実際に被害に遭ったときに社員は隠すようになります」
被害が発生しても早期に報告を受けることができれば、それに対してダメージを減らすためのアクションを取れる。そのためにも被害を隠さずに報告できるような組織体制は不可欠だ。
「少しでもおかしいと思ったら、どんなに後ろめたくてもきちんと報告することが重要です。そして、報告をされる側もきちんと報告が上がってくる仕組みを作るべき。もし、報告を受けたときに冷たい対応をされたら、報告がしづらくなってしまう。報告をする側も受ける側も、お互いに組織のセキュリティを守るという意識を持つことが大切です」
サイバー攻撃が巧妙化する今、「100%」被害を防ぐ手立ては残念ながら存在しない。攻撃される前提で対策や組織づくりを行う必要があるといえる。適切な報告や共有がなされる風土づくりができているか、そして人間に頼りすぎず被害を防ぐ・検知する仕組みができているか、一度確かめてみてほしい。
