【セキュリティ魂】擬似スパムで抜き打ち検査！あなたも危ない"人間"脆弱性診断

　アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ちで行う、火災などの避難訓練の、情報セキュリティ版と言ってもいいだろう。

　情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。

　本サービスの概要や、某中央官庁で4年間にわたって実施されたという具体的な訓練結果について、アイエックス・ナレッジ株式会社 事業統轄本部 主任研究員の高濱 祐さん、同研究員 岩野 智昭さんのお2人に、SCAN編集部が話を聞く。

■本当のウイルスを見せて試してみたい

SCAN編集部(以下SCAN)：ではまず最初に「メル訓」のサービスの内容を教えて下さい。

アイエックス・ナレッジ社(以下 IKI)：「メル訓」は、社員のみなさまに内緒で、ウイルスメールなどを模した訓練用のメールを送信し、うっかりファイルを開いてしまった人に向けてセキュリティ啓発を促すメッセージなどを表示したり、その開封状況を調査分析し、報告書などを提出するサービスです。

SCAN：訓練用のメールはウイルスを模したものだけですか？

IKI ：最近の巧妙化するメールによる攻撃の状況に対応して、大きく分けて下記の3つのカテゴリの訓練メールを準備しています。

　(1)ウイルスメール(添付ファイルをクリックさせるタイプ等)
　(2)スパムメール(懸賞やアダルト、転職などを誘うタイプ等)
　(3)スピア型攻撃メール(フィッシングや詐欺、ビジネス絡みのメール)

もちろん全て模擬メールで、実際のウイルス等は一切含まれていません。

まずこれらのメールを、社員や職員の調査対象の方向けに配信します。そして、訓練メールの添付ファイルを開いたり、訓練メール本文のリンクをクリックしたりすると、訓練対象者のパソコンの画面上に警告メッセージが表示されます。警告メッセージにより、何か問題があったことが一目でわかりますので、訓練対象者のセキュリティリテラシーの向上を図ることができます。

同時に、訓練用メールを開封したり、添付ファイルを開いた人や時間を記録し、集計することができます。

たとえば部署ごとに開封の比率を出すことで、組織全体のセキュリティ対策の徹底度などを知ることができます。

SCAN：「メル訓」はアイエックス・ナレッジ社が商品企画したのですか？

IKI ：いいえ。そもそもの始まりは弊社のクライアントの某中央官庁様が、職員の皆様に対して「実際のウイルスメールを見せたい」というニーズを当社にいただいて、生まれたサービスです。その中央官庁様では、4年間、のべ6回の訓練用メールの送信を行いました。

SCAN：訓練の規模を教えて下さい。

IKI ：最初は限定的に特定の部署だけでの実施でしたが、回を進めるごとに訓練対象部署は拡大し、最終的に6,000名の全職員全部署の皆様に向けて実施しました。

SCAN：「実際のウイルスメールを見せたい」というのはどういう意味なのでしょうか？

IKI ：アンチウイルスやファイアウォール、IDS／IPSなどを導入し、PマークやISMS認証などを取得するといった、セキュリティ対策が充分進んでいる企業様や官公庁様では、実際にその対策が機能しているかどうかを点検したいというニーズが出てきます。模擬的な形であれ、ウイルスメールに実際に職員の皆様を触れさせたい、という意味だと思います。

セキュリティ対策は大きく分けて、技術的な対策・物理的な対策・人的な対策の3つが存在します。組織のセキュリティ強度は、もっともレベルの低いところに支配されます。「メル訓」をご利用いただくことで、そういった組織の中の「ヒューマン・セキュリティホール」の所在を明らかにすることができます。

また、高度なスピア型の攻撃は、技術的に防ぐことが理論的にできません。人間のレベルを上げていくしかないのです。