2020オリンピック開催国だからこそ知りたい標的型メール訓練の重要性

1. オリンピックはテロ攻撃の標的になりやすい

オリンピックはテロ攻撃の標的になりやすい

東京オリンピックの開催が2020年夏に迫っており、日本国内では開催ムードに沸いています。しかしその一方で忘れてはいけないことも。それは過去多くのオリンピック開催国が国際的なテロの標的になってきたことです。

一例として、1972年のミュンヘンオリンピックでは選手村が国際テロ組織に襲撃され人質を含む計17名が死亡しました。他にも、1996年のアトランタオリンピックでは会場近くの公園が爆破テロに見舞われ2名が死亡、100名以上が負傷する大惨事が起こっています。オリンピック開催国はテロの危険性や存在が顕著になったことで、テロ対策を施すことに。しかしそれにもかかわらず、冬季オリンピック開催を控えたロシアのソチでは、2013年に600km離れた同国の都市で公共交通機関や駅舎を狙った爆破事件が発生しました。オリンピックとの関連は明らかになっていませんが、時代が移り変わってもテロの脅威に変わりはないのです。

さらにIT技術の向上を受けてテロの手法も多様化しており、2012年のロンドンオリンピックでは開催国であるイギリス宛てにサイバーテロ予告がありました。なおこちらは予告のみで、実行はされておりません。

こうした背景を受けて、わが国でも2020年のオリンピック開催に向けたテロ対策に乗り出しています。

2. 国だけでなく企業にも求められるテロ対策とは

国だけでなく企業にも求められるテロ対策とは

オリンピックの開催において国本体がテロのターゲットになるのはもちろんですが、開催国にある企業もテロの標的になる可能性が高いです。

テロ組織によっては企業の規模を重要視しない場合もあり、中小企業がテロの標的となることも決して珍しくはありません。そのため日本国内にある企業は、規模にかかわらず全てテロの標的になる可能性があるというのを意識しなければいけないのです。

近年日本では、国としてもサイバーテロの広がりに備えて国内企業全体に対して警鐘を鳴らしています。ところが、サイバーテロに対して具体的な施策を進めている企業は全体の半分程度。さらに、大企業は対策を進めているのに対して、中小企業では「サイバーテロ対策の担当者すらいない」という理由から、対策が全く行われていない企業が多数といった現状があります。

国としても内閣サイバーセキュリティセンター内サイバーセキュリティ戦略本部が、平成31年2月に発表した「サイバーセキュリティ意識・行動強化プログラム」において、2020年オリンピック開催を前に、企業全体でサイバーテロ対策に対する意識を高め、具体的な対策を進めていくことの必要性を説いています。

特に中小企業の場合、サプライチェーンのICT化によってサイバーテロによる被害がチェーン全体に広まる恐れがあるだけでなく、大企業や国を標的にしたサイバーテロの踏み台として中小企業がターゲットになるケースも増えることも危惧されていますので、サイバーテロ対策が急務であるといえるでしょう。

3. 「明日は我が身」を知るべき

「明日は我が身」を知るべき

中小企業のサイバーテロ対策が急務とはいえ、「具体的には何を対策としてすべきか分からない」という場合も多いでしょう。事実、サイバーテロと一口に言っても、具体的に企業に対してどのような攻撃が仕掛けられてくるか実感が沸かない人も少なくありません。

サイバーテロというと、ハッキングや乗っ取りなど大掛かりなものを想像しがちですが、サイバーテロの種類は多岐に及びます。身近なところでは「メール」が最大の脅威になるでしょう。みなさんは独立行政法人情報処理推進機構IPAが毎年発表している「情報セキュリティ10大脅威2019」をご存知でしょうか。1位はなんと「標的型攻撃による被害」です。メール等によりPCをウイルスに感染させ、組織内部へ潜入。長期にわたって侵害範囲を徐々に広げ、組織の機密情報を摂取するのです。

情報システム担当者がインターネットの脆弱性対策等を入念に行っていたとしても、従業員が思わず標的型攻撃メールを開封してしまうリスクがあります。まずはこの非常にリスクの高い標的型攻撃メール対策に着手することが必要です。

ここで有効なのが「標的型メール訓練」です。実際に従業員全体に対して擬似的な標的型攻撃メールを送信し、添付資料の開封者に教育コンテンツを表示させたり、初動対応について再確認させたりします。この訓練の主なメリットは3点です。

  1. 攻撃メールの疑似体験をすることで不審なメールを見分ける力を従業員につけさせます。
  2. 初動対応を確認することができ、攻撃の被害を最小限にすることを目指します。
  3. 訓練結果を見える化することで、組織のリスクを把握することができます。

メリットの大きな標的型メール訓練ですが、訓練を内製で実施するには労力や時間などのコストがかかるでしょう。訓練結果の分析も報告会も専門家にお任せしたい。そこで活用したいのが「QT PRO 標的型メール訓練サービス」です。

QTPRO 標的型メール訓練サービス こんなことにお悩みの方に 従業員のセキュリティ意識が低い 技術的対策に会社が予算を取ってくれない 何からセキュリティ対策をやれば良いかわからない 被害に遭いやすい部者や役所など、自社の傾向を把握したい

「QT PRO 標的型メール訓練サービス」では、擬似的な標的型攻撃メールを2回配信し従業員の反応の変化を見ます。メールの内容も、部署ごと、グループごと、個人ごとなどさまざまな範囲を設定し、その対象ごとに内容を変更して送信することができます。

メール訓練後は開封率などの詳細なデータ提供や、セキュリティ専門チームによる報告会などが行われます。ご希望の方には簡易セキュリティアセスメントも実施します。

「QT PRO 標的型メール訓練サービス」を活用し、従業員全体のセキュリティ意識や対策技術を磨いて、企業として強固なサイバーテロ対策に努めてください。