出口対策だけでなく、オーソドックスな方法でも標的型攻撃による被害を少なくできる。具体的には、データの重要性や利用部門に応じてVLANを使ってネットワークを分割する(図1)。LAN設計の基本だが、企業合併などで徹底できなくなってしまった企業も多い。標的型攻撃への対策を機に、ネットワーク全体の見直しを図るのも一つの手だ。
例えば重要データを保存しているサーバーのあるセグメントは、インターネットと直接通信できないようにする。これにより、仮に重要データのあるサーバーがマルウエアに感染しても、攻撃者のサーバーに情報をアップロードできないようにする。予想外の手法でサーバーにマルウエアを侵入させられても、情報窃取の被害に遭う可能性を低くできる。
部門ごとにVLANを分離して、異なる部門のサーバーに直接アクセスできないようにするのも重要だ。外部の人とやり取りするのが仕事である営業部門にとって、標的型攻撃メールに気付いて回避することを求めるのは酷。となると、仮に営業部門がマルウエアに感染しても、開発部門が管理する設計情報やスタッフ部門が管理する経営情報は持ち出されないようにすべきだ。
VLANをきちんと分離しておけば、営業部門のPCに侵入したマルウエアが、他部門のサーバーに不正アクセスする危険性は低くできる。また、営業部門のPCから他部門のPCにウイルスがまん延していくことも同時に防げる。
報告できる体制作りも重要
前回、前々回を含めて、ここまでシステム的な標的型攻撃の対策を示してきた。だが、最終的には「人」が最も重要な防波堤で、同時に最大のセキュリティホールにもなる。例えば経営層が標的型攻撃にリスクを感じなければ、対策予算は講じられない。社員が標的型攻撃のリスクを認識していないと、情報漏洩の可能性を認識しながらも上長に報告しない事態もあり得る。標的型攻撃に備えるには、エンドユーザー教育がとても重要になる。
効果が高いとされるのが、予行演習と座学の組み合わせだ。予行演習では標的型攻撃メールを模したメールを送信して、社員に標的型攻撃を疑似体験してもらう(図2)。経営層も予行演習の対象にすることで、標的型攻撃のリスクを再認識してもらうきっかけにできる。
予行演習は実施前に予告しておいたほうがいい。システム部門からのアラートとして標的型攻撃に関する注意喚起を掲示し、予行演習の実施時期を予告する。三井物産セキュアディレクション(MBSD)の佐山享史ITサービス部情報コンサルティンググループテクニカルコンサルタントは「具体例を掲載したりすると良い」と推奨する。社員が自分で考えて行動することにつながり、記憶に残りやすいからだ。
予行演習で送る標的型攻撃メールの文面は、社員が気付けるポイントを入れる。事前に注意喚起して標的型攻撃メールの具体例に似せたり、存在しない部門名を自称したりといった方法がある。全く気付けない文面にしてしまうと、ユーザーが注意すべきポイントがぼやけてしまう。
事後の座学研修では「管理職に参加してもらい、各部門がどれだけ標的型攻撃メールに引っ掛かったか公開すると効果的だ」(MBSDの佐山テクニカルコンサルタント)。管理職は概して数値化された指標に敏感なため、リスクとして認識しやすくなるという。
