初めまして。やまると申します。

突然ですが皆さん、「情報セキュリティ訓練」という言葉はご存じでしょうか?人によって知っていたり知らなかったり、反応が異なると思います。ですが、IT業界に携わっている方であれば「知っているし、受けたこともある!」という方がほとんどだと思います。というか・・・受けないとまずいです。
受けないと罰則!クビ!とかはありません(普通はないと思う・・・)。でも来たる時に知識がないととんでもないことが起きてしまうかもしれません。

前置きが少し長くなりましたが、今回は私が現場で受けた訓練の内容や訓練の必要性についてお話ししたいと思います。拙い文章ですが、最後までお読みいただければ幸いです。

実際に現場で情報セキュリティ訓練を受けた話。

ある日、現場で勤務中の私宛に、あまり見たことが無いような内容のメールが届きました。内容は「あなたが使用しているIDの有効期限がもうすぐで切れるので更新してください。」というようなもの(内容はざっくり)。そのメールには本文とURLのみが記載されていました。

その時私は、IDの更新を1,2週間前にしていたことを思い出したものの、複数更新をしなければならなかった為、「あ、多分何か更新し忘れたものがあったんだろうな・・・早く更新しないとまずい!」とそのURLをクリックしてしまったのです。
その後、私の目の前にあるディスプレイには大きく「これは訓練です!!!」という文字と、危機感と恐怖感をとんでもなく煽らせるような大きなビックリマークが表示されました。私はこの時とても驚いたことを覚えています。驚きすぎて頭が真っ白になり何が起こったのか全く分かりませんでしたが、徐々に思考が回復しやがて気づきました。

「あ、これ開いてはいけないやつを開いてしまったんだ。」と。

そうです。このメールは情報セキュリティの脅威の一つ、標的型攻撃メールの訓練であり、私はまんまと引っ掛かってしまったのでした。

情報漏洩の具体的な例として、2016年に大手旅行会社のJTBが、取引先を装ったメールの添付ファイルを従業員が開いたことにより、PCやサーバーがウイルスに感染。約793万人の顧客情報が流出してしまった事件があります。パスポート情報等の個人情報が流出してしまったことにより、顧客からの信用を失い、パスポート再発行の費用や被害者からの訴訟を含め多額の損失が出てしまいました。

私が開いてしまったメールがもし本物の標的型攻撃メールだとしたら・・・?きっとそのあと情報漏洩が発生し、会社や顧客に大きな被害を与え、取り返しのつかない大変な事態にまで発展していたことでしょう。周囲の信頼を失っていたかもしれません。考えただけでもぞっとしますね。

訓練を受ける理由や目的ってなに?

では、情報セキュリティ訓練を行う理由はなんなのでしょうか。それは、情報セキュリティについての知識や情報セキュリティに対する意識の向上を図るためです。先ほど挙げたJTBの例のように、一度事故を起こしてしまうと失うものはとても大きく、とても多いです。一人ひとりが情報セキュリティの知識を深め、情報漏洩等の被害を防ぐことにより、自分自身、ひいては会社全体の利益を守ることに繋がるのです。

「実際に現場で情報セキュリティ訓練を受けた話。」でお話しした訓練で届いたメール。よく見れば送信者の名前も載っていなかったし、本文は内容だけつらつらと書いてあり、改行もほぼされていないビジネスメールではありえないような文面・・・おかしな点は複数ありました。

IPA 情報処理推進機構より、標的型攻撃メールの見分け方が載っているページがありますのでよろしければご覧ください。
参考:IPA 情報処理推進機構 | 「標的型攻撃メールの例と見分け方」

知識があればメールを見分けることもできましたし、URLもクリックすることはなかったはずです。

ちなみに、半年後にも同じメールが届きましたがその際はメールを即破棄。同じ手には引っ掛かりませんでした。成長したな、自分。

情報セキュリティにおける脅威とは。

IPA 情報処理推進機構によると、2021年の情報セキュリティにおける10大脅威(組織)の上位5位は以下の通りです。

  • 1位:ランサムウェアによる被害(昨年5位)
  • 2位:標的型攻撃による機密情報の窃取(昨年1位)
  • 3位:テレワーク等のニューノーマルな働き方を狙った攻撃(初登場)
  • 4位:サプライチェーンの弱点を悪用した攻撃(昨年4位)
  • 5位:ビジネスメール詐欺による金銭被害(昨年3位)

(参考 : IPA 情報処理推進機構 | 情報セキュリティ10大脅威 2021

1位の「ランサムウェアによる被害」は、従来は個人に対して無差別にウイルスメールを送るケースがほとんどでしたが、最近は企業や組織に狙いを定めているケースが増えています。

3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」は昨年の新型コロナウィルス感染拡大に伴い、自宅でのテレワークが推奨され、私物PCや自宅のネットワーク、ソフトウェアの導入等、普段の業務で使わないようなものを使うようになり、こうした環境変化を狙う手口が増えている為、新たに脅威としてランクインしています。

まとめ

今回は「情報セキュリティ訓練」についてお話させていただきましたが、私が取り上げた脅威の他に、様々なものが存在します。新型コロナウィルス等々私たちの周りの環境は常に変化しており、また新たな脅威が現れるかもしれません。

今この記事を読んでくださっている方。もし「自分は訓練受けてないな・・・」という方がいれば、自分自身、自分が働いている部署、会社を守るためにも、早めに訓練を受けることをお勧めします。

作者情報
未経験でIT業界に飛び込み、気づけば4年目。まだまだ勉強頑張ります。 お笑い鑑賞が大好きです。某J事務所の関西グループのファンでもあります。友人の影響を受け一気に沼にはまりました。FC歴4年。同担の方ウェルカムです。
    関連記事はありません