本特集を通じて、「標的型サイバー攻撃」の実態とそこから考えられる対策について述べてきました。最終回である今回は、標的型サイバー攻撃に対し、製品による対策だけではなく、組織の体制やポリシー策定を含めた「取るべき対策」の考え方を説明し、本連載全体のまとめとします。

 「継続」「隠蔽」「変化」という特性を持つ標的型サイバー攻撃は、何か特別な対策を導入するだけで防げるほど単純な脅威ではありません。侵入を前提として考慮し、多階層に基本的な対策を積み重ねていくことが最低限必要です。また、人間である攻撃者による「隠蔽」と「変化」に対応していくためには、実際の攻撃手口を分析し「脅威対策の知見=スレットインテリジェンス」として活用していくことが重要です。

取るべき対策1:組織の従業員へのセキュリティ教育

 初期潜入の段階では標的となる人間をだますためのソーシャルエンジニアリングが主な手口となっています。例えば、やり取り型などの巧妙な標的型メールや添付の日本語ファイル名などです。

 さらに事前準備段階での情報収集でも、従業員がインターネット上で実施している様々な情報発信の監視やSNS上の友人になりすますなど、巧妙なソーシャルエンジニアリングを実行してきます。

 これら人間をだます攻撃に対抗するために、攻撃者の手口を組織の従業員に広く共有し、注意喚起して、早期に気付けるようにすることが重要です。従業員へのセキュリティ教育として、一般的なセキュリティリテラシーなどを定期的に教育することに加え、判明した攻撃者の手口をタイムリーに伝え、注意を喚起するべきです。例えば、標的型メールでのアイコン/拡張子偽装の手口を知れば、安易に添付ファイルを実行してしまう確率を減へらせるようになります。

 このようなセキュリティ教育を組織内だけで完結させるのは難しいでしょう。IPA(情報処理推進機構)セキュリティセンターなどセキュリティを専門に扱う団体や一般のセキュリティベンダーの多くは、セキュリティ教育用のマテリアルやトレーニングコースを提供しています。こうしたサービスを積極的に活用するとよいでしょう。