その「セキュリティ教育」、本当に効果ありますか?:「セキュリティ心理学」入門(4)(1/3 ページ)
人間にまつわるセキュリティを考える本連載。昨今、「標的型メール攻撃訓練」などのセキュリティ教育・訓練が盛んに行われていますが、こうした教育・訓練はただ行えばよいというものではありません。あらためて、「セキュリティ教育・訓練」の目的や効果について考えてみましょう。
標的型メール攻撃訓練を考える
昨今「標的型メール攻撃」への関心が高まっています。標的型攻撃への対策自体は、国内でも2008年ごろから検討されていたのですが、やはり2015年に起きた日本年金機構での情報漏えい事件が引き金となり、一気に関心が高まったようです。そこで最近は各組織で「標的型メール攻撃訓練」が盛んに行われています。
しかし、こうしたセキュリティ教育・訓練は、単に行えば済むというものではありません。その「目的」や「効果」について、事前にしっかり認識した上で実施する必要があります。事実、国内外で現状のセキュリティ教育・訓練の問題点を指摘した複数の報告もなされています。実効的なセキュリティ教育・訓練が求められているといえるでしょう。
参考リンク
ユーザへの予防接種というアプローチによる標的型攻撃対策-2(山口 健太郎、他)
セキュリティ教育はセキュリティ対策行動を促進しない(坂本倫子、他)
How to Make Your Security Awareness Program FAIL!(Winn Schwartau)
こうした教育・訓練の意義を考える上で、本稿ではまず、昨今盛んな「標的型メール攻撃訓練」について考えてみたいと思います。
日米での訓練結果
標的型メール攻撃訓練は、“疑似攻撃メール”を用いて行われます。その方法には大きく分けて「(疑似の)悪意あるファイルを添付したメールを送る方法」と、「本文に(疑似の)悪意あるページへ誘導するURLを埋め込んだメールを送る方法」の2つがあります。
表1は、日本国内の政府・自治体で行われた標的型メール訓練結果をまとめたものです。なお、ここでは添付ファイルを開いてしまったり、URLをクリックしてしまったりした人の割合を「クリック割合」と表現しています。
| 訓練内容・間隔 | クリック割合 |
|---|---|
| 1.事前の情報提供をせず訓練を実施 | 約40.0% |
| 2.事前に情報提供を行って訓練を実施 | 約10.0% |
| 3.訓練実施から2年後に、事前の情報提供をせず再実施 | 約12.5% |
| 4.訓練実施から2年後に、事前の情報提供をして再実施 | 約6.3% |
| 1 | 山口健太郎他、『ユーザーへの予防接種というアプローチによる標的型攻撃対策』、2008、情報処理学会第71回全国大会 高橋邦夫、『豊島区における情報セキュリティ啓発活動』、2015、ISC 電子自治体研究会 大高利夫、『藤沢市の情報セキュリティ』、2015、ISC 電子自治体研究会 |
|---|---|
| 2 | NISC、『平成23年度 標的型不審メール攻撃訓練結果の概要(中間報告)』、2011 |
| 3 | 高橋邦夫、『豊島区における情報セキュリティ啓発活動』、2015、ISC 電子自治体研究会 |
| 4 | 高橋邦夫、『豊島区における情報セキュリティ啓発活動』、2015、ISC 電子自治体研究会 |
表2は、ランス・スピッツナー(Lance Spitzner)氏が2014年のRSA Conferenceで発表した、米国における訓練結果です。
| 訓練間隔 | クリック割合 |
|---|---|
| 1.4半期ごとに訓練を実施 | 19% |
| 2.2カ月ごとに訓練を実施 | 12% |
| 3.毎月訓練を実施 | 4% |
| なお、初回の訓練ではクリック割合は30〜60%になる。 (Lance Spitzner、『Measuring Change in Human Behavior』、2014、RSA Conference 2014) | |
これらの表を見ると、日米ともに、初回の訓練では平均して40%程度の人が添付ファイルやURLをクリックしてしまうようです。ただし、米国側の報告にある通り、毎月訓練を行うことでクリック割合を(ここでは4%まで)落とすことが可能となっています。また、表1の豊島区の例(1、3、4)を見ても、継続的に訓練を実施することでクリック割合が低下しています。ちなみに米国の報告では、同じ内容で訓練を続けるのでなく、次第に内容を難しくしていく必要があるとの補足がなされています。
このように、クリック割合という観点で見れば、標的型メール攻撃訓練は「継続は力なり」なものであるようです。また、米国の結果を見ると、より短いスパンで訓練を繰り返すほどその効果は高まると言えそうです。
訓練結果から考えること
このような訓練結果を示すと、「いくら継続的な訓練を行っても、クリック割合がゼロにならない限り攻撃を免れることはできない」と言われることがあります。しかし、技術的な対策、例えばウイルス対策ソフトやファイアウォール、IDS/IPSといった製品を導入しても、100%の対策にならないのは同じです。
継続的な訓練を行うことで、40%のクリック割合を2%に下げられるのだとしたら、2%の方が良いと筆者は考えています。仮に組織の全端末が100台だったとして、感染の可能性のある端末が40台に及ぶよりも、2台で済んだ方がその後の対応が楽なのは明らかだからです(もちろん、感染台数が減ったからといってそのまま情報漏えいの可能性が低くなるというわけではありませんが)。
また、こうした訓練には組織の従業員のセキュリティリテラシーを向上させる効果も期待できます。各従業員のリテラシーが高まれば、仮に組織内の複数端末に対して攻撃があっても、最初に気付いた人が周囲に対して「標的型攻撃メールが来ています。クリックしないよう注意してください」と事前に注意喚起を行ってくれる可能性が高まります。
さらに、仮に誰かがマルウェアに感染してしまったとしても、各メンバーのセキュリティリテラシーが高ければ、組織としての素早い対応が可能になります。標的型メール攻撃などに一般社員が個人で対処するのは困難ですから、「おかしいと感じた」あるいは「クリックしてしまった」際に、直ちにセキュリティ部門などへ連絡する必要があります。セキュリティリテラシーを向上させておくことで、こうした連絡を直ちに行い、セキュリティ部門が速やかに対応する体制が構築しやすくなります。
従って、標的型メール攻撃訓練の場合、「短いスパンで難易度を上げながら実施する」という適切な方法をとれば、一定の教育効果が期待できると筆者は考えています。
関連記事
「セキュリティ人材」って、何ですか?――本当に必要なセキュリティ教育を考える
なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ 
絶対に負けられない戦いで負けない人材を育成するさまざまな取り組みCopyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。