ラックは7月下旬、標的型攻撃への対処法を網羅した「標的型攻撃 対策指南書(第1版)」を無料公開した(写真1)。対象としたのは、高度なセキュリティが求められる政府機関や大企業ではなく、セキュリティの必要性があまり理解されていない、また、理解はしていても人的・予算的な問題から対策が進んでいない一般企業や地方自治体だ。そのため、絵に描いた餅となりがちな理想論は盛り込まず、こうした組織でも実行できる施策を最低ラインとして示している。
標的型攻撃に関して私を含め多くの専門家が「事故前提の対策が必須である」と口を酸っぱくして言っている。だが、いまだに多くの人々の理解は「事故を起こすのは管理がずさんだからである」との考えが蔓延している。テレビの有名なニュース番組でも、事故を起こした組織を揶揄するようにたたくことで終わりにしていることをよく見かける。
政権や組織をたたくことと、攻撃に対抗することは分けて考えなければならない。このまま放置すると、強靭な国づくりとは程遠い、現実を無視して“お花畑”を追求することでかえって大きな危機を招きかねないという、実に皮肉な結果が待ち受けているのは明白である。なぜなら「事故を起こすのは管理が杜撰なのでセキュリティ対策を強化せよ」という“正論”に素直に従えば従うほど、ピント外れな対策ばかりになり被害は減らないからである。
外部からの指摘でしか気が付けていない
指南書を作成したきっかけは、言うまでもなく日本年金機構の個人情報流出事件だ。事件以降、ラックにも相当な数の問い合わせが寄せられているが、実際に「標的型メール訓練をしたい」といった個別サービスの相談や依頼が大半だ。「予防策をやっておけば標的型攻撃は防げる」との意識がまだ払拭されていないせいもあるのだろうが、それでは対処療法的でしかない。
メール訓練ももちろん大事だが、それ以上に優先順位が高く、すぐにでも取り掛かってほしい対策がある。指南書は、そのことをより多くの組織の方に知ってもらうことを狙いとしている。
