詳しくなっても「怪しい」を100%防ぐことはできない。
ただし組織として言い訳が効かないレベルの「怪しい」は100%避けてほしい
「怪しいメールを開くな」「怪しいリンクを踏むな」は「いい感じに適当にやっておいてよ」と依頼するのと同レベルと考えられます。
外から来たメールは受け止めるのが「義務」のような経営層や営業にとっては、深夜の道路中央に黒い服で同化して寝ている人間を大型トラックで避けるような難易度です。
セキュリティが詳しい側からしてみても、世の中には本物のテンプレートも、官公庁を含む応対スクリプトも、対応フローもホンモノが出回っている状態で「怪しい」と判断できるかと言えば自信がないと言うのが正直な感想ではないでしょうか。
何しろ騙せる状態に持って行くまでのやりとりに使われる文面も文言は本物と遜色がなく、元々付き合いのあった担当の退職者アカウントや内部犯の場合送信先すら本物であることも十分に考えられます。信じ切ったと統計的に判断された時、「嘘が混じった」やりとりにより標的型攻撃に引っ掛かります。
しかも組織の関係者の誰かさえ騙せれば良いので、「怪しい」何かに騙されるなは現実的ではないということです。
ではなぜ「怪しいメールを開くな」「怪しいリンクを踏むな」は未だに言われ続けるのかについて述べたいと思います。
「怪しいメールを開くな」「怪しいリンクを踏むな」というレベルの低い注意喚起はなぜ繰り返されるのか?
結論「組織として言い訳が効かないレベルの「怪しい」は100%避けてほしい」ので意識に擦り込むためです。
こんなところに書いてあるにお前のところはできていないかった。
例えば「exeのファイルを開かない、マクロは有効にしないなんて常識だろう」などと言われステークホルダーに詰められたくない訳です。
テレビで報道されれば6%〜12%の株価への影響もありステークホルダーに対する説明責任は無視できなくなります。
規模がそこそこであれば、技術的にも少し難しめな情報事故はネットではニュースになりますがテレビで取り上げれることはまずありません。
標的型メール訓練はなぜ、標的型訓練の対策にならないのか→AwarenessとTrainingの区別がついていないから
結論、標的型のAwarenessを鍛えずしてTrainingばかり鍛えているから標的型攻撃の対策としては片手落ちだからです。根本的にはAwarenessとTraninigの区別が付かず理解されていないからが原因となります。
ひたすらインシデント対応訓練と題を打ち、インシデントだと判断済みの情報も揃え問題のスコープの定まった「作業」訓練の練度を上げている組織を散見します。
しかし、そもそも問題を問題と気づけないこと、情報不足の中の決断で問題の全体像を正確に捉えられないことは多々あります。攻撃者も意図的に誤認させて本当の目的を隠蔽して、囮のインシデントの解決に注力する中、目的を遂行することは珍しくありません。
その結果、事故が表面化し対策に迫られると、さらにTrainingばかり鍛える活動が追加され組織からうんざりされる訳です。
AwarenessとTrainingはNIST SP 800-16に以下のように記述されています。
Awareness is not training. The purpose of awareness presentations is simply to focus attention on security. Awareness presentations are intended to allow individuals to recognize IT security concerns and respond accordingly.
Awarenessは問題に気づき判断することです。
Trainingは問題に対して正しい手順で着実に実行していくことです。
カウンセリングとコーチングの関係にも似ているような・・
表にまとめるとAwarenessは認知と判断、Trainingは手順と実行と明確になります。
認知と判断が間違っていたら、手順と実行をいかに極めても成果を為しません。
| 認知 | 判断 | 手順 | 実行 | |
|---|---|---|---|---|
| ヒューマンエラー | ❌ | ー | ー | ー |
| ミステイク | ⭕️ | ❌ | ー | ー |
| スリップ | ⭕️ | ⭕️ | ❌ | ー |
| ラスプ | ⭕️ | ⭕️ | ⭕️ | ❌ |
有事の手順を訓練することは、小学生のころからの防災避難訓練されている感覚で馴染みがあるかもしれません。
そもそも地震や火災は気づきます。火災報知設備の警報も信用度が高く明確です。
問題の発生自体が行為者によって意図的に隠される標的型攻撃とは「認知」と「判断」の時点で全く異なることをまずは自覚しましょう。
そして「認知」と「判断」に関する訓練や教育を、来る日程を調整された標的型メール訓練などとは別に組むことで効果を高めましょう。
対応許容値内に収まる低開封率かつ高報告率の維持ができれば良い
標的型メール訓練についてもう一つだけ、開封率ではなく報告率ということをお話したいと思います。
ソーシャルエンジニアリングの第一人者のクリス・ハドナジーさんも組織においては「開封率ではなく報告率が重要」と述べています。
開封率であれば無視すればよく、さらに気づいた人が報告するというアクションにも繋がらずリスクが残存し続けることになります。
一方報告率であれば、組織に一人でも気付けば組織の他の人がリスクに晒される前にリスクが除外される可能性があり、組織としてリスクが単調増加することを避けられます。Gmailの報告機能を使えば、賢く今後の攻撃をブロックしてくれます。
組織全体として求められる状態は「対応許容値内に収まる低開封率かつ高報告率の維持ができれば良い」です。
Trainingの結果とAwarenessの結果に鑑みてこの状態を目指せるよう組織で計画的に強化を図ってみてはいかがでしょうか。
以上です。参考になれば幸いです。