10月26日に総務省が今年度3回目の「実践的サイバー攻撃演習（CYDER）」を実施した。昨年までと違い、今回は日本年金機構での事象を参考に架空の「サイダー省」が標的型攻撃メールに襲われたという想定で、不審な通信内容などを解析して対策を講じるというものであった。

その模様を伝えるニュースを見て何かおかしな部分があるのと感じた。なお、あくまでニュースで見聞きした範囲での筆者の私見であることはあらかじめお断りしておきたい。

10月26日夜のNHKニュースによると、今回のCYDERには7つの省庁と日本年金機構が参加をしたという。今年上半期は企業への標的型メール攻撃が大幅に増えており、日本年金機構の問題としては「組織内で適切な対応をとられず大規模な情報流出を招いた」と指摘している。訓練では「標的型攻撃メールが届いたらどう対応すべきか」がテーマだった。まず「不審なメールが届いたら？」という設定があり、「不審なメールが届いた」という連絡を受けて担当者はどうすべきか――というシナリオでスタートしたそうだ。

これを聞いた筆者の率直な感想は、「どこか違うよねぇ」というものだ。何がおかしいのか。

クレームの付けようもないと思う読者も多々いらっしゃるだろうが、実はそもそもの視点が違うのだ。現場でセキュリティ対策を実践している人であれば、それが大きな抜け穴であると分かるだろう。最初にお断りしておくと、筆者はこの訓練自体を否定する意図は全くない。中央省庁や国内の大手ITベンダー各社が協力して実施することはすばらしいし、非常に重要なことだ。

訓練内容を見ても、「不審なメールが届いた」という通報での初期対応、確認事項や禁止事項の理解、組織全体への周知方法や注意喚起、専門部署への連絡方法などを解説している。決しておかしなものではないし、内容としても間違ってはいない。しかし現場主義の筆者としては、ある意味で本末転倒な部分があることに気が付いた。

おかしいよ、その前提

その前提とは、この実践演習では“素人”の職員がメールを開封して、その後に「このメールには不審な点がある」と「ちゃんと気が付いた」ということだ。リンクをクリックする・しないや、添付ファイルを開く・開かないについては議論になっていないようなので割愛する。

つまり、その職員が二日酔いで思考力を低下させていようが、上司の叱責で憔悴していようが、どんな状態にあっても、絶対に「不審なメール」だと気が付くのが前提になっている点だ。もし不審だと気が付かない場合は、そのまま何もなかったことになるのか。それとも、「気が付く」条件は大量に外部への通信の痕跡が見つかり、相当な個人情報や内部情報が外部に漏れてからなのだろうか。

現場ではどうか。筆者は何年も前からセミナーなどでお伝えしているが、本当に危険なメールには不審さが存在しないか、あっても希薄なので中々不審だと気が付きにくいのだ。一目で不審だと分かる文字化けや日本語表現のおかしなメールの多くは、アダルト系である。本当に危険なメールを送り付ける犯罪組織は優秀な人材を多数雇用し、標的の相手を確実にだますための手口を幾つも編み出してくる。今時の標的型攻撃メールであれば、普通にはまず気が付けないケースが多い。

それにも関わらず演習は、「不審なメールがある」と気が付いているという前提のシナリオになっている。

もちろん送信先やメールの内容を分析するのは、それはそれで価値のあることだが、攻撃への対応の焦点はそこではないはずだ。ましてや、それで日本年金機構のような失態を防げるとは到底思えない。攻撃の初動対応で、「不審なメールがある」という職員から通報をトリガーにしてしまうと、リスクマネジメント的にもまずい。

1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.