NRIセキュアテクノロジーズは2015年7月17日、企業向けの「サイバーセキュリティ傾向分析レポート2015」を発表した。同社が顧客企業に提供するマネージドセキュリティサービス(MSS)を通じて得た2014年度(2014年4月から2015年3月まで)のログデータなどを分析し、1年間の傾向を明らかにした。
レポートでは、サイバー攻撃の脅威は二つに大別されるとした。一つは「標的型メールに代表される『人』に対する脅威」、もう一つは「プロダクト脆弱性などを標的にする『システム』に対する脅威」である。
コンサルティング事業本部テクニカルコンサルティング部の寺村亮一氏(写真1)は、「日本年金機構の情報漏洩事件でも明らかになったように、『人』に対する脅威が高まっている。ユーザー教育や入口・出口対策を含めた『多層防御』を徹底する必要がある」と述べた。
同社は、標的型攻撃メールの攻撃シミュレーションサービスを提供している。顧客企業の要望に応じて、その企業の従業員が開きそうな件名・内容のメールを対象者全員に送付。開封した場合は「標的型攻撃メールに気をつけてください」といったメッセージを表示する。
この結果を集計したところ、2014年度の従業員全体の開封率は19%だった。この開封率は、過去3年でほぼ変化がないという。寺村氏は「標的型攻撃メールを検知した場合は、2割程度は開封されるという前提で対策を組み立てる必要がある」と説明した。
役員に限ると開封率は31%に上る(写真2)。過去3年を見ても、おおむね役員の開封率は全体の1.5倍で推移している。寺村氏は「役員のPCでは財務情報や知財関連、検討中の買収・合併計画など多くの機密情報を扱っており、流出すると被害は大きい。一般従業員以上にサイバー攻撃対策に対する意識を徹底させる必要がある」と訴えた。
