日本マクドナルドが考える「人」の脆弱性の鍛え方

メール経由の脅威はますます増加している。攻撃侵入経路の96％がメールによるものとする調査データもあるほどだ。外食産業大手の日本マクドナルドもほかの多くの企業と同様、フィッシングメールにマルウェア、ビジネスメール詐欺など、さまざまなメール経由の脅威にさらされてきた。 

　「電子メールはとても身近な存在です。簡単、便利なツールで、相手方に届かないことはまずありませんし、もしメールが止まってしまえば大騒ぎになります。攻撃者はこの重要なツールを巧みに悪用しています」と、日本マクドナルド株式会社 テクノロジー本部リスクマネジメント部部長、鵜飼淳氏は語る。 

　こうした状況に対し、「私が考えるセキュリティの理想型は、人の知見、人の能力に頼らないセキュリティです。ユーザーが“マルウェアがどうこう”といったことを気にせずに、本来の業務に集中できるようにすることがセキュリティ担当者の使命だと思っています」と鵜飼氏は続けた。 

　一方で、セキュリティにおいて人は最も弱い部分であるのも事実だ。それを踏まえ日本マクドナルドでは、システムの力でユーザーに到達する悪意あるメールを極力減らすとともに、ユーザーの「セキュリティ経験」を高めることを目指してきた。 

　具体的には「この人からこんな時間に返事が来るのはおかしい」「いつもの文面とちょっと違うな」といった具合に、不審なメールにいち早く気付き、怪しいと思える感覚を身に付けてもらう。同時にそうして気付いたことを社内の誰か、できればセキュリティ担当者に伝える癖も身に付けてもらうというものだ。 

　残念ながら、悪意あるメールがユーザーの手元に届くことを100％防ぐことは難しい。だが「ユーザー自身にいち早く検知してもらい、セキュリティ担当者に連絡することによって、NIST（米国国立標準研究所）のサイバーセキュリティフレームワーク（CSF）における“対応や復旧のステップ”にいち早く取りかかることができ、結果として被害を最小限にとどめることができます」（鵜飼氏）という考えで、ユーザーのセキュリティ経験向上に取り組んできた。