“サイドライト(側光)を当てるべきセキュリティ人材”を取り上げ、セキュリティ業界の現状やその人物の素顔を垣間見ていただこうという本連載。
第6回は、入社時より標的型攻撃メール訓練に取り組んできたラック ITプロフェッショナル統括本部 エンタープライズ・セキュリティ・サービス事業部 システムアセスメント部※の川島 夏海氏にお話を伺います。
※ 2018年3月の取材当時の所属部署
警視庁のまとめによると、2017年に報告された標的型メール攻撃の件数は、過去最多となる約6000件。業務に関連したメールを装って送られてくる標的型メールによる攻撃は、セキュリティ製品の導入などシステム面だけでなく、ユーザーに対する教育も重要な対策の一つとなります。
こうしたなかラックは、2011年より疑似的な標的型攻撃メールを訓練対象者に配信することで、実際の標的型攻撃メールへの対応力を高める体験型の教育プログラムを提供してきました。
今回は、この教育プログラムの詳細や今感じている課題、今後の展望について、川島氏に尋ねました。
辻 伸弘(Tsuji Nobuhiro) - ソフトバンク・テクノロジー
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。
また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。
標的型メール攻撃の訓練って何をやるの?
辻氏 : どういった興味から今の仕事を選ばれたのですか?
川島氏 : それは私が5歳のときの話からしなきゃいけなくなりますよ(笑)。
辻氏 : 手短にお願いします(笑)。
川島氏 : 5歳のころ、家にWindows 95がきたのが私とパソコンとの出会いでした。そして8歳のころにWindows 98がきて、初めてインターネットの世界に触れました。
当時は田舎に住んでいたので、自分が住んでいるところとは違う世界がインターネット上に広がっていることにとても感銘を受けました。大人になったらインターネットに関わる仕事がしたいなと、そのときに思ったんです。
大学では、人とコンピュータの関わりについて勉強する学部を選び、リアル社会でのふるまいとSNSでのふるまいが異なる人がいるのはなぜなのかという研究をしていました。
辻氏 : なぜラックへ?
川島氏 : 大学4年生のとき、IT業界での就職を考えていろいろな企業を見ていく中で、「インターネットを安心して使える社会をつくる手助けがしたい」と考えていたことから、システムエンジニアやプログラマの道に進むのは少し違うのではないかと感じはじめました。
そのときに出会ったのがラックでした。JSOC(Japan Security Operation Center:セキュリティ監視・運用サービスの拠点)を見て、超かっこいい! と、中二病心をくすぐられました(笑)。
辻氏 : 現在はどんな業務に従事されていますか。
川島氏 : 標的型メール攻撃訓練のサービスを担当しています※。
※ 2018年3月の取材当時
お客様企業の社員に対して標的型メール攻撃を擬似的に仕掛け、社員の対応状況から、標的型攻撃への理解を深めていただいたり、どれくらいの対応力があるのか判断したりするなど、お客様のニーズに合わせたサービスを提供しています。
辻氏 : 標的型メールの訓練って、どういうやり方で行うものなのですか?
川島氏 : 企業によってさまざまです。担当者の方々と調整して、どういう目的でどのような内容の訓練を行うのか、まずは相談します。総務・人事など教育系の方が窓口になることが多いですが、セキュリティや情報システム系の方に担当していただく場合もあります。担当部署によって傾向も変わりますね。
具体的な内容としては、例えば、社員が標的型攻撃を見分けられるかどうかをチェックしたいお客様もいらっしゃいますし、怪しいメールを受信した際に社員がルールに従って正しい行動を取ることができるかどうか確認したいお客様もいらっしゃいます。
訓練の目的はお客様によってさまざまです。メールの内容を見抜くための教育的な面もありますし、社員のレベル感を計るという意味合いもあります。何割の社員がファイルを開けてしまうか、という診断的な使い方もできます。
辻氏 : 標的型メール攻撃の訓練とひとことで言っても、お客さんの目的によってやり方はさまざまになってくるということですね。標的型攻撃に気づかせたい訓練の場合、メールのどこに見抜くポイントがあるんですか?
川島氏 : 例えば、心当たりのない差出人やメールの内容のほか、業務で使用しない種類の添付ファイルなどはポイントになります。疑似攻撃メールの難易度を高めたい場合は、この気づきのポイントを少なくしていきます。
詳しくは私が書いた、「訓練やっても意味がない!? ~標的型攻撃メール訓練を実施する目的~」という記事を参照してください。
辻氏 : シチュエーションに合わせて考える必要があるので、訓練はやりだしたらきりがないですよね。
僕は違うものに置き換えて考えることがよくあるのですが、例えば火災訓練を調べてみると、火が起きたときの対処や、避難の方法の確認など、やらなければならないことがいくつかあります。
さらに、避難する人たちへの訓練と、避難誘導しなければならない運営側への訓練に分けて考える必要もありますよね。つまり、「怪しいメールが来ました」と報告を受ける側の人たちのオペレーションも確認しなければいけないと思うんです。
川島氏 : そのとおりだと思います。とはいえ、私たちのサービスの枠組みでは、社員の方のレベルアップをメインにしているので、セキュリティ担当者までアプローチしていないのが現状ですね。
もっとも、訓練終了後のアンケートで、「報告しようと思ってマニュアルを探したけど見つからなかった」とか、「訓練が終わったことがわからなかった」などの意見があがってくることもありますので、運営担当者の振り返りも行えるツールにはなっていると思っています。