【連載】

この人に聞きたい! 辻伸弘のセキュリティサイドライト

【第6回】「標的型攻撃メール訓練は意味あるの?」 理解を求めて戦うラック担当者

[2018/04/16 08:00]周藤瞳美 ブックマーク ブックマーク

セキュリティ

連載目次

“サイドライト(側光)を当てるべきセキュリティ人材”を取り上げ、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうという本連載。

第6回は、入社時より標的型攻撃メール訓練に取り組んできたラック ITプロフェッショナル統括本部 エンタープライズ・セキュリティ・サービス事業部 システムアセスメント部の川島 夏海氏にお話を伺います。

※ 2018年3月の取材当時の所属部署

ラックの川島 夏海氏(左)とソフトバンク・テクノロジーの辻 伸弘氏(右)

警視庁のまとめによると、2017年に報告された標的型メール攻撃の件数は、過去最多となる約6000件。業務に関連したメールを装って送られてくる標的型メールによる攻撃は、セキュリティ製品の導入などシステム面だけでなく、ユーザーに対する教育も重要な対策の一つとなります。

こうしたなかラックは、2011年より疑似的な標的型攻撃メールを訓練対象者に配信することで、実際の標的型攻撃メールへの対応力を高める体験型の教育プログラムを提供してきました。

今回は、この教育プログラムの詳細や今感じている課題、今後の展望について、川島氏に尋ねました。

辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

標的型メール攻撃の訓練って何をやるの?

辻氏 : どういった興味から今の仕事を選ばれたのですか?

川島氏 : それは私が5歳のときの話からしなきゃいけなくなりますよ(笑)。

辻氏 : 手短にお願いします(笑)。

川島氏 : 5歳のころ、家にWindows 95がきたのが私とパソコンとの出会いでした。そして8歳のころにWindows 98がきて、初めてインターネットの世界に触れました。

当時は田舎に住んでいたので、自分が住んでいるところとは違う世界がインターネット上に広がっていることにとても感銘を受けました。大人になったらインターネットに関わる仕事がしたいなと、そのときに思ったんです。

大学では、人とコンピュータの関わりについて勉強する学部を選び、リアル社会でのふるまいとSNSでのふるまいが異なる人がいるのはなぜなのかという研究をしていました。

辻氏 : なぜラックへ?

川島氏 : 大学4年生のとき、IT業界での就職を考えていろいろな企業を見ていく中で、「インターネットを安心して使える社会をつくる手助けがしたい」と考えていたことから、システムエンジニアやプログラマの道に進むのは少し違うのではないかと感じはじめました。

そのときに出会ったのがラックでした。JSOC(Japan Security Operation Center:セキュリティ監視・運用サービスの拠点)を見て、超かっこいい! と、中二病心をくすぐられました(笑)。

辻氏 : 現在はどんな業務に従事されていますか。

川島氏 : 標的型メール攻撃訓練のサービスを担当しています

※ 2018年3月の取材当時

お客様企業の社員に対して標的型メール攻撃を擬似的に仕掛け、社員の対応状況から、標的型攻撃への理解を深めていただいたり、どれくらいの対応力があるのか判断したりするなど、お客様のニーズに合わせたサービスを提供しています。

辻氏 : 標的型メールの訓練って、どういうやり方で行うものなのですか?

川島氏 : 企業によってさまざまです。担当者の方々と調整して、どういう目的でどのような内容の訓練を行うのか、まずは相談します。総務・人事など教育系の方が窓口になることが多いですが、セキュリティや情報システム系の方に担当していただく場合もあります。担当部署によって傾向も変わりますね。

具体的な内容としては、例えば、社員が標的型攻撃を見分けられるかどうかをチェックしたいお客様もいらっしゃいますし、怪しいメールを受信した際に社員がルールに従って正しい行動を取ることができるかどうか確認したいお客様もいらっしゃいます。

訓練の目的はお客様によってさまざまです。メールの内容を見抜くための教育的な面もありますし、社員のレベル感を計るという意味合いもあります。何割の社員がファイルを開けてしまうか、という診断的な使い方もできます。

辻氏 : 標的型メール攻撃の訓練とひとことで言っても、お客さんの目的によってやり方はさまざまになってくるということですね。標的型攻撃に気づかせたい訓練の場合、メールのどこに見抜くポイントがあるんですか?

川島氏 : 例えば、心当たりのない差出人やメールの内容のほか、業務で使用しない種類の添付ファイルなどはポイントになります。疑似攻撃メールの難易度を高めたい場合は、この気づきのポイントを少なくしていきます。

詳しくは私が書いた、「訓練やっても意味がない!? ~標的型攻撃メール訓練を実施する目的~」という記事を参照してください。

辻氏 : シチュエーションに合わせて考える必要があるので、訓練はやりだしたらきりがないですよね。

僕は違うものに置き換えて考えることがよくあるのですが、例えば火災訓練を調べてみると、火が起きたときの対処や、避難の方法の確認など、やらなければならないことがいくつかあります。

さらに、避難する人たちへの訓練と、避難誘導しなければならない運営側への訓練に分けて考える必要もありますよね。つまり、「怪しいメールが来ました」と報告を受ける側の人たちのオペレーションも確認しなければいけないと思うんです。

川島氏 : そのとおりだと思います。とはいえ、私たちのサービスの枠組みでは、社員の方のレベルアップをメインにしているので、セキュリティ担当者までアプローチしていないのが現状ですね。

もっとも、訓練終了後のアンケートで、「報告しようと思ってマニュアルを探したけど見つからなかった」とか、「訓練が終わったことがわからなかった」などの意見があがってくることもありますので、運営担当者の振り返りも行えるツールにはなっていると思っています。

連載目次

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
3635
2
【連載】この人に聞きたい! 辻伸弘のセキュリティサイドライト [6] 「標的型攻撃メール訓練は意味あるの?」 理解を求めて戦うラック担当者
今回は、入社時より標的型攻撃メール訓練に取り組んできたラックの川島 夏海氏にお話を伺います。実施しても、次のアクションにつなげづらいと言われる標的型攻撃メール訓練。川島氏は、どう考えて顧客と付き合ってきたのか。課題感と今後の展望を聞きました。
https://news.mynavi.jp/itsearch/2018/04/13/secsl/lac1-002.jpg
今回は、入社時より標的型攻撃メール訓練に取り組んできたラックの川島 夏海氏にお話を伺います。実施しても、次のアクションにつなげづらいと言われる標的型攻撃メール訓練。川島氏は、どう考えて顧客と付き合ってきたのか。課題感と今後の展望を聞きました。

会員登録(無料)

AI人材に必要なもの
セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
教えてカナコさん! これならわかるAI入門
RPA入門
パスワード管理アプリの選び方
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
クラウドサービス アンケート

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る