最近、フィッシングへの対抗力を上げるために企業内で「訓練」を行っているという事例も耳にする。だが、この訓練に関しては幾つかの注意点がある。
まず注意したいのは、訓練の結果を「フィッシングに気付けたかどうか」で判断すべきではないということだ。フィッシングの手口や技術は巧妙になっている。そもそも気付きにくくなっていることが問題であることに対して、ユーザーが気付けたか否かだけをチェックするのであれば訓練の意味は薄い。
訓練を行うべき理由は、「気付いた人がいたとき、どのように情報伝達が成されるか」という点にある。例えば、フィッシングメールを発見した場合、社内の誰に連絡すべきだろうか。通報を受けた組織は、全社員に対してどのように通知したらいいのだろうか。訓練を有益なものとするならば、「システムを止める」「社内外の関係者に対して注意喚起を行う」「情報漏えいなどの事故が起きているかどうかを調査する」といった情報の流れが、滞ることなく行われるかどうかをチェックすべきだ。
もう1つ重要なポイントがある。それは、訓練の結果を基にして社員を責めるようなことがあってはならないという点だ。社内に「注意散漫だから引っ掛かるのだ」という雰囲気を作ってしまうと、責任のなすりつけあいになってしまう。それよりも「フィッシングに引っ掛かってしまうこと」を前提として、どう企業を守るかを考えていきたい。
さらに付け加えるならば、フィッシング訓練においては「実在する組織名」や「実在する組織名に似た名称」は使わないように気を付けたい。訓練にリアリティを持たせるために実在の組織名を使いたくなる気持ちは分かるが、これが別の大きな問題を引き起こすリスクをはらんでいる。
情報処理推進機構(IPA)が2017年7月に出した注意喚起によれば、皮肉なことにIPAはさまざまなフィッシング訓練で名前が使われている組織の1つとなっている。その結果、「IPAをかたる攻撃に遭った」という誤った報告がIPAに連日のように寄せられるのだ。同様に、勝手に名前を使われた企業に対して無関係な第三者から情報が寄せられることが発生し、実際の業務に影響が出てしまう事例も報告されている。
このような想定外の影響を発生させないためにも、フィッシングらしき攻撃を受けた場合の報告ルートの整備と運用の徹底は重要なポイントとなる。社内で統一した報告ルートが機能していなければ、フィッシング訓練の効果はないと考えておこう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。