日本マクドナルドに学ぶ、「人の脆弱性」を狙ったサイバー攻撃をいかにして防ぐか?

日本マクドナルドでは、自社で対処すべき固有の情報セキュリティリスクとして「メールを介した脅威」を挙げ、その対処のために予算や人員を確保して対策を強化している。「メールを悪用した攻撃」が増加し、手口も高度化・巧妙化の一途をたどっているからだ。その対処方法とは?

» 2021年07月19日 10時00分 公開
[PR/ITmedia]
PR

 2021年6月アイティメディア主催のオンラインセミナー「ITmedia DX Summit」が開催された。最終日の18日には、日本マクドナルドが取り組んでいる従業員のセキュリティ意識向上トレーニングの事例紹介や、実際に利用している日本プルーフポイントが提供する製品の紹介などが行われた。

「意思決定者の意識改革」と「見えない領域の可視化」がポイント

サイバーディフェンス研究所 専務理事 上級分析官 名和利男氏

 冒頭の基調講演に登壇したサイバーディフェンス研究所 専務理事 上級分析官 名和利男氏は、「組織の内部を起点にしたサイバー侵害活動を見逃す、『現場の問題点』」と題したプレゼンテーションで、近年における企業のサイバー攻撃対策の問題点とその改善案を提示した。

 名和氏は、これまでサイバー攻撃対策の主力を担ってきた「境界防御」がもはや有効性を失いつつあることから、企業や組織は従来の発想や考え方を変えない限り、今後ますます高度化・巧妙化するサイバー攻撃を防げなくなると警鐘を鳴らす。特に企業や公的組織の「意思決定層」がその意識を改革できるかどうかが鍵を握ると説く。

 「近年におけるサイバー攻撃の多くは、標的の組織や人物をあらかじめ十分調査した上で、複数の手法を組み合わせて個別具体的な攻撃を仕掛けてきます。従って企業の意思決定層は、サイバー攻撃対策の計画を策定する際に単に『外部の専門家から推奨されたから』『他社がこの対策を導入しているから』という理由ではなく、自社に固有のリスクを洗い出して対処法を決め、そのための予算や人材を確保する必要があります」(名和氏)

 また自社内で実際に検出されるサイバー攻撃や、メディア・SNSなどで目にするサイバー攻撃関連の情報は実際には「氷山の一角」にすぎず、その下の見えない領域に実に多くのリスクが潜んでいるという。

 「攻撃者はこうした見えない領域に姿を隠して攻撃を仕掛けてきます。従って攻撃を防ぐには、これまで見えなかった領域を見えるようにするビジビリティ(可視性)を確保することが重要になってきます。これによって攻撃者の活動を抑制するとともに、自社が具体的にどのようなリスクを抱えていてどんな対処を行えばいいかを初めて明らかにできます」(名和氏)

日本マクドナルドが取り組む「人の脆弱性」への対処

日本マクドナルド テクノロジー本部 リスクマネジメント部 部長 鵜飼淳氏

 続いて日本マクドナルド テクノロジー本部 リスクマネジメント部 部長 鵜飼淳氏が登壇し、「『人』の脆弱性を鍛える方法」と題した講演で同社が現在進めているサイバー攻撃対策のポイントを紹介した。

 日本マクドナルドでは、自社で対処すべき固有の情報セキュリティリスクとして「メールを介した脅威」を挙げ、その対処のために予算や人員を確保して対策を強化している。「メールを悪用した攻撃」が増加しており、その手口も年々高度化・巧妙化の一途をたどっているという背景があるからだ。

 米ベライゾンが発表したレポート「2020年度 データ漏えい/侵害調査報告書」によれば、サイバー攻撃の侵入経路のうち実に96%をメールが占めているという。またメールを介した脅威の数はもちろんのこと、その手口も年々巧妙化の一途をたどっている。現在では単に不正プログラムを含むファイルをメールに添付するだけでなく、ファイルをZIP暗号化することでセキュリティソフトの検知をかいくぐったり、正規サイトを装った不正サイトのURLをクリックさせたりすることで不正プログラムをダウンロードさせるフィッシングメールなどの巧妙な手口が目立ってきている。

 あるいは、メールの送信元を普段からメールをやりとりしている人物の名前に偽ったり、普段のメールのやりとりの件名や本文をそこから盗用したりすることで受信者をだますテクニックなどが広く使われるようになっている。こうした巧みな攻撃を見破るためには「“人”の脆弱性」に対処していくことが重要だ。

 「メールを使った攻撃への対処としてはファイアウォールやアンチウイルス、アンチスパム、サンドボックスといったさまざまな対策を多層的に施して不正メールを各層で段階的に検知・除去していきますが、巧妙なメール攻撃はこれら幾重もの対策をもすり抜けてユーザーの手元に届きます。こうしたメールによる被害を防ぐためには、やはり最終的には人の判断力を高めていくしかありません」(鵜飼氏)

年1、2回の研修よりメール訓練を高頻度で実施する方が効果的

 不正メールを見分けるための判断力を養うには、やはり適切なセキュリティ研修を実施するのが効果的だ。ただし、単に「知らない人からのメールは開封しないように」「不審な添付ファイルは開かないように」と杓子定規な対応を指示するだけでは不十分だ。近年のメール攻撃の手口は年々進化しているため、一見しただけでは送信元アドレスや件名、本文が不自然に見えないものも増えてきている。

 従ってこうしたメールを受け取ったときに「この人からこのタイミングでこんな内容のメールが来るのは、ちょっと不自然ではないか?」といったように、感覚的にサイバー攻撃の可能性を察知できる力を養う必要がある。そのためには従来のように年に1、2回、1時間程度の集合研修やeラーニングを受講してもらうだけでは不十分ではないかと鵜飼氏は指摘する。

 「受講直後はその内容を強く意識していても、次の研修まで半年〜1年たつうちに受講者の意識はだんだん薄れていってしまいます。また100人に対して1時間の研修を実施すると、合計で100時間の工数を費やすことになり、受講者や研修担当者の業務生産性に与える影響は決して小さくありません」(鵜飼氏)

 そこで研修ではなく、実際に偽のフィッシングメールをユーザーに送ってその反応を調べる「メール訓練」も合わせて実施することが効果的だという。訓練でユーザーが費やす工数は、メールを開いてその内容を判断する1分足らずで済む。しかも、「実体験」の効果はてきめんで、初回の訓練を実施した際に30%のユーザーが添付ファイルをクリックしたとしても、2回目実施時にはクリック率は5%程度まで下がったという例も。

 さらに、大規模な訓練を年に1、2回実施するよりは、小規模な訓練を高頻度で実施した方が訓練の効果が持続しやすいことも分かっている。人手を掛けずにメール訓練を高頻度で実施することができる専用ツールを活用することがとても効果的だ。

 「日常の業務の中で簡単に訓練を回せるようなツールを有効活用して、リスクの高い対象者を中心に高頻度で訓練を実施するのが有効です。また企業や組織の意思決定者に対して、こうしたツールを導入することの意義や、実際にツールを使って訓練を実施することで自社にどのようなベネフィットがあるかを理解してもらうよう、丁寧に説明していくことが大切です」(鵜飼氏)

経験と高頻度な訓練で効果が持続できる

水面下に隠れた「人の脆弱性」を可視化する「Nexus People-Risk Explorer」

日本プルーフポイント セールエンジニアリング部 シニア セールスエンジニア 田中晴也氏

 本イベントの最後には、日本プルーフポイント セールエンジニアリング部 シニア セールスエンジニア 田中晴也氏が登壇し、同社の製品が人の脆弱性を鍛え、またこれまで可視化されなかった「水面下の見えない領域」に潜むリスクの可視化にいかに役立つかを紹介した。

 同社は「People Centric」、つまり「”人”中心」を理念として掲げ、この考え方にのっとった製品開発を行っている。その理由について田中氏は、「企業のシステムがクラウドへと移行していく中、サイバー攻撃の手法もこれまでのようにターゲット企業のオンプレミス環境に潜伏してシステムへの攻撃機会を狙うよりも、社外環境からクラウドサービスを利用する“人”の脆弱性を狙った攻撃が増えてきます。そのためこれからは、システムよりもむしろ人を中心に据えた対策を考えていく必要があります」と説明する。

 プルーフポイントではこうした考えの下、社内でセキュリティインシデントを発生させる確率が高い要注意人物を「Very Attacked PeopleTM(VAP)」として可視化するソリューションを提供している。具体的には、「実際に攻撃を受けているのは誰か」「重要なデータやシステムへのアクセス特権を持っているのは誰か」「リスクの高い行動を起こしがちな人は誰か」という3つの切り口で組織内のメンバーを分類し、今すぐ対処すべき要注意人物を特定する。

組織内の要注意人物を可視化

 同社が提供する「Nexus People-Risk Explorer」と呼ばれるダッシュボード製品を使うと、実際に自社の従業員のリスクを上記3つの切り口から分析・スコアリングした上で、ツール画面上で要注意人物を洗い出すことができる。また単にリスク対象を可視化するだけでなく、そのリスクに対する具体的な対処方法の推奨案も提示してくれる。

 さらには、近年多く見られる「サプライチェーン攻撃」に対処できる機能も提供している。サプライチェーン攻撃とは攻撃対象の企業・組織に対して直接攻撃を仕掛けるのではなく、セキュリティ対策が手薄な取引先企業やグループ企業にまずは侵入し、そこを足掛かりにしてターゲットに侵入を試みるという攻撃手法だ。プルーフポイントでは「Supplier Risk Explorer」と呼ばれる新機能を通じて、社外とやりとりしたメールの内容をドメインごとに分析・スコアリングし、各取引先のドメインごとにリスク評価を行う。

 このように人や組織ごとにリスクを分析・評価し、これまで水面下に隠れて見えなかったリスクを可視化する取り組みは、セキュリティ対策を実施する上で極めて重要だ。

 「組織のメンバー全員に一律に同じ対策を講じるより、それぞれの人の特性に合わせて継続的にリスクを評価する『アダプティブ・コントロール(適応型制御)』の方が効果も高く、予算やリソースもより適切に配分できます。弊社ではまずVAPの考え方に基づいて人のリスクを細分化した上で、それぞれの人に最適な対策を講じるソリューションを開発・提供しています」(田中氏)

「メール訓練」「セキュリティトレーニング」「通報機能」を一体で提供

 また同社では、標的型メール訓練を支援する製品「Proofpoint Security Awareness Training(PSAT)」も提供しており、日本マクドナルドでは実際にこの製品を使ってメール訓練を実施している。

 同製品が提供する機能は主に3つ。まず1つ目は、実際にメール訓練を計画・実施する機能だ。メール訓練を実施する際には最新のサイバー攻撃に関する情報を収集し、それに合わせたテンプレートを準備する必要があるが、これを自前で行うと膨大な手間や時間がかかる。PSATを導入するとこれらの準備作業のかなりの部分を自動化できるとともに、訓練自体の実施や結果の評価・分析なども半自動的に行われるため、従来より高い頻度で訓練を実施できるようになる。

 2つ目は、セキュリティトレーニングの実施機能だ。従業員のセキュリティ対応能力を向上させるためのさまざまなオンデマンドトレーニングが用意されており、メール訓練の結果を基に従業員一人一人の立場やセキュリティ意識のレベルに応じた最適なトレーニングを実施できる。

 3つ目の機能は、不審メールの通報と分析。トレーニングを受講して従業員のセキュリティ意識が高められても、不審メールを受信した際に通報する窓口が機能しなかったり、通報の手順が煩雑で分かりにくかったりしては情報を効果的に集めることができず、結果的に組織全体のセキュリティ対策のレベルもなかなか向上しない。そこでPSATは、わずかワンクリックの操作で管理者に不審メールを通報でき、かつ通報を受けた内容を自動で分析し、その結果を通報してくれたユーザーにフィードバック。さらに悪意あると判断した場合は同じメールを他のユーザーの受信箱にもまたがって自動で隔離する。

人を中心としたセキュリティ

 また、分析結果をレポートに自動的にまとめる機能まで実装している。

 「メール訓練やトレーニングを実施しても、その結果をきちんとレポートにまとめて経営陣に分かりやすく報告できなければセキュリティ投資の費用対効果が正確に伝わらず、結果的に継続的な投資も難しくなります。その点PSATは『CISOダッシュボード』という機能でリスクとトレーニング効果を可視化するとともに、他社の状況と比較した場合のスコアも算出できるため、経営陣がセキュリティ意識を高めるためのきっかけ作りにもなります」(田中氏)

 さらにPSATのこれら一連の機能を前出のNexus People-Risk Explorerと組み合わせて運用することで、より効果的なセキュリティ対策/運用が可能になるという。

 「例えば、要注意人物のリストであるVAPのデータをPSATと連携することで、実際に各ユーザーに届いている攻撃の種類/手法に適したトレーニングを自動的にアサインすることも可能になり、限られた人員や予算から最大限の効果を引き出すことができます。また、メール訓練ですぐにクリックするようなユーザー、トレーニングの進捗が悪いユーザーなど、PSATの結果を「Nexus People-Risk Explorer」の脆弱性の判断に取り込むことも可能。ソリューション連携することにより、より精度の高い分析結果の表示も可能になります」と田中氏は話す。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本プルーフポイント株式会社
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2021年8月18日