悩み(9) インシデント対応の初動における社内での情報共有に不安がある
i社では、従業員が標的型攻撃メールに記載されたURLを参照してしまった、あるいはメールの添付ファイルを開けてしまった、といったインシデントに関する情報が報告されにくいという問題があった。
基本情報
i社の状況
- インシデント発生時にセキュリティ部門へ報告されにくいという問題がある。
- 以前、サイバー攻撃を受けた際には金銭が窃取される直前まで事態が深刻化し、関係者が厳しく叱責された、という事実とは異なる噂が社内に流れたことがあった。
i社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 1,000人 | |
| 管理 体制 | CISOの有無 | 有 |
| 専任のセキュリティ部署 | 有 | |
| サイバーセキュリティ の主管部署 | セキュリティ部門 | |
セキュリティ担当者の問題・悩み
過去のインシデント対応において、従業員が標的型攻撃メールを開封してしまった際に、セキュリティ部門への連絡が速やかになされず、適切な初動対応が行えない事例があった。
従業員に対して、インシデント発生時に報告しやすくする工夫が必要ではないか、と考えていた。
取組(9) 標的型メール訓練で開封したかではなく報告したかを意識させる
解決に向けたアプローチ
そこでi社は、標的型攻撃メールの添付ファイルを開いてしまう等のインシデントが発生した際に、セキュリティ部門へ速やかに報告してもらうために、以下のような取組を行った。
報告率を向上させる工夫(例)
- 標的型攻撃メール訓練時には、メール記載のURLや、メールの添付ファイルの「開封率」だけでなく「報告率」も計測、分析。
- 報告率が低い、報告スピードが遅い傾向がある場合は、アンケートで原因分析を行った上で、初動対応方法の周知を行うなど個別にフォローアップを実施。
- 日頃から、不審なメールは「開封しない」ではなく「開封した場合は報告する」ことを周知。
得られた知見
セキュリティインシデントが起きないように最善を尽くすべきではあるが、どれだけ対策を講じても、インシデントをなくすことは難しい。そのためI社は、インシデント発生時には、速やかに対応し、被害を最小化することが重要であると考えている。
また、不審メールを開封したというと、ネガティブに捉えられ、「報告・相談したくない」という意識が働いてしまいがちである。しかし“報告してくれてありがとう”と伝えて、報告したことをポジティブに評価する風土を作りたいと考えている。