2012/11/15
環境変化、脅威の変化に伴い求められる組織内のセキュリティ教育とは?
<ページ1>
<ページ2>
<ページ3>
まずおさえておきたいのが、サイバー攻撃に対する教育です。
組織を狙うサイバー攻撃の巧妙化により、注意を払うべきポイントも変わってきています。特に近年、特定の組織の保有する情報資産を狙って、多くの資金と人を使い、何ヶ月も、ときには何年もかけて、成功するまで攻撃しつづける「持続的標的型攻撃」が、日本においても深刻な問題になっています。持続的標的型攻撃の場合、犯罪グループは、事前にターゲットとする組織のあらゆる脆弱性を調査した上で、侵入する最も効果的な手法を駆使します。この攻撃に多く悪用される手法が、人間の心理や行動のすきを突くソーシャルエンジニアリングです。
なりすまし・偽装メールが代表的な手口で、従業員に対して送付するメールの本文や件名、送信者を実在の人物や組織からの業務連絡、情報共有のように偽装し、添付ファイルを業務上の有用なファイルに見せかけて開かせます。添付ファイルにはアプリケーションの脆弱性を悪用してパソコンを乗っ取るような不正プログラムが仕込まれているのです。
このように、持続的標的型攻撃の場合、これまで広く認識されてきた迷惑メール(スパムメール)のような怪しい文面だけに注意を払うだけでは十分とは言えません。
従業員が注意すべきは、こうした攻撃を認知した上で、少しでも不審に感じた場合、メールの差出人本人やシステム部門に確認するほか、添付ファイルや記載されたURLの安易なクリックを控えることです。また、コンピュータの脆弱性を悪用する攻撃に対しては、OSやソフトウェアを常に最新に保つことも重要です。一方で、組織は従業員任せにするのではなく、システム的な対策、セキュリティポリシーの策定などと合わせて、従業員の理解と認識を高めるセキュリティ教育を実施することが求められます。
※この記事は制作時の情報をもとに作成しています。