手軽に社員の能力アップ（第2回）こんなときこそ気を付けたい。標的型メール対策

　標的型攻撃を守りきれないケースが頻発する理由の1つは、セキュリティの抜け穴として、「人」に関連するからだ。ネットワークを介してコンピューターそのものの動きをハッキングするサイバー攻撃の場合は、不正侵入検知システム（IDS）や不正侵入防御システム（IPS）などのセキュリティシステムや、それらの機能を備えた統合脅威管理（UTM）機器の導入で、かなりの対策が打てる。一方、「取引先の担当者を名乗るメールに添付された見積書のファイル」や「会社近隣の飲食店から届いた自社限定の割引クーポン」が、偽装したマルウエアだった場合は厄介だ。従業員がそれを標的型攻撃のメールではないかと疑って、「ファイルを開かない」行動を必ず取れるように対策を講じているか。標的型攻撃の怖さは、こうした「人」の抜け穴を突かれるところにある。

　人の心理を突いたサイバー攻撃への対策で効果的なのは、なんといっても従業員教育を繰り返すことに他ならない。標的型攻撃に使われるメールのパターンを周知するだけでなく、実際に訓練用の標的型攻撃メールを従業員に対して送り、だまされないかどうかを試すテストも必要だ。こうした標的型攻撃に対する社員教育を適切に施し、「これは怪しいのでは？」と感じる力を身に付けてもらい、本当に攻撃が来たときに引っかからない体質をつくり上げるとよい。

●総合的な情報セキュリティ対策

　ところが、日経BPコンサルティングが実施した企業の情報セキュリティ対策意識調査2020で、がくぜんとする現実が見えてきた。セキュリティに関する対策として、従業員への研修実施は、従業員1万人以上の企業で66.7％。従業員規模が少なくなるにつれて比率が下がり、従業員100人未満では、わずか13.9％しか実施していない。「人」という面でのセキュリティ対策は、非常に心もとない状況といえる。

人への訓練とシステムのセキュリティ対策をトータルで実施

　そうは言っても、中小企業にとってセキュリティ対策は、業績に直結しない一方的なコスト負担増という意識が高いのも事実だ。それでも、なんとか情報システム面では、外部からの脅威を社内外の境界で遮断するゲートウエイセキュリティとしてUTM機器を導入したり、パソコンやスマートフォンなどの端末の感染を防ぐエンドポイントセキュリティの対策を施したりとコストはかけている。その上に、人的な標的型攻撃への対策も実施しなければならないとなると、悲鳴を上げる中小企業は少なくない。

　中小企業にとって、標的型攻撃メールの訓練のプログラムを新しく導入し、継続して運用するとなると負担が大きい。それでも、システムの守りと人の守りをトータルで考える必要がある。両面をサポートしてくれるセキュリティ対策プランを活用して、負担をできる限り抑えた上で、総合的なセキュリティレベルの向上が求められる。システムのセキュリティ対策というハード面と、「人」の訓練というソフト面を合わせてカバーするサービスを、中小企業こそ、一刻も早く導入すべきだろう。