ITの進化が企業のビジネスを拡大した一方で、企業を狙うサイバー攻撃の増加が大きな問題となっている。従来主流だった無差別型の愉快犯的攻撃から、金銭目的の標的型攻撃へとサイバー攻撃の巧妙化は急速に進行しており、本物のビジネスメールと見分けのつかない標的型メールを受信した社員がマルウェアに感染し、社内システムへのアクセス権を奪われた結果、社内の情報資産が流出してしまうといったケースは後を絶たず、あらゆる企業がセキュリティ対策の拡充に追われているのが現状だ。
マルウェア感染からの情報流出を防ぐためのセキュリティ対策としては、そもそも攻撃者に侵入機会を与えない”入口対策”から、万が一感染した際に情報が外部へ送信されることを防ぐ”出口対策”まで、さまざまなツールやサービスが提供されており、多くの企業は多層的なセキュリティ体制を構築して、悪質なサイバー攻撃に対処している。とはいえ、どんなに技術的な対策を施したところで、標的型攻撃を完全に防ぐことはできない。社内のデバイスや情報資産を扱うのはその企業の従業員、すなわち”人間”であり、多様化・巧妙化によってマルウェア感染をもくろむ標的型攻撃のターゲットも”人間”であるため、ツールに頼った対策だけではどうしても限界があるのだ。
このように、標的型攻撃に対処するためには従業員ひとりひとりのセキュリティに対する意識の醸成が必要となる。そこで注目したいのが、本稿でダウンロードできる資料で解説される「セキュリティ強化に向けたあるべき組織像」と「従業員のセキュリティ意識を向上させる標的型メール訓練サービス」だ。
標的型攻撃をはじめとするインシデントから企業を守るための術
本資料では、サイバーセキュリティ教育カンパニーとして、セキュリティコンサルティング、脆弱性診断、サイバーセキュリティソリューション、セキュリティ教育サービスなどを手がけるグローバルセキュリティエキスパート(GSX)の武藤 耕也氏、ユーザー企業から公益社団法人 ジャパン・プロフェッショナル・バスケットボールリーグの葦原 一正氏、そして、多くの講演や著作実績のあるリサーチャー ソフトバンク・テクノロジーの辻 伸弘氏の3人の有識者による鼎談から、”セキュリティインシデントへの正しい向き合い方”を確認することができる。
資料のなかでは、それぞれの経験を踏まえ、従業員”個人”を攻めるのではなく企業全体の”組織”としてリスクに対処することの重要性を議論することで、インシデントを組織全体で共有化し、従業員それぞれがセキュリティに対する意識を高める「企業風土(文化)」の構築と、適切かつ運用可能な「ルール」の策定、さらに、ルールを守るために必要な「ツール」を用いることで、個人を責めて萎縮させることのない有効なセキュリティ体制が実現できることを解説している。
さらに本資料では、従業員ひとりひとりのセキュリティ意識を向上させるため、GSXが提供しているセキュリティ教育サービスのひとつ「標的型メール訓練サービス」についても知ることができる。単に攻撃メールへの対応訓練を行うのではなく、従業員から経営陣まで企業全体にセキュリティ体制構築の重要性を理解させることで、セキュリティインシデントに対応できる企業風土を実現できるこのサービスは、標的型攻撃への対策に悩んでいる企業の担当者にとって大きな助けとなることだろう。ぜひダウンロードしてご確認いただきたい。
[PR]提供:グローバルセキュリティエキスパート