不審なメールに添付されたファイルを開き、会社のPCをマルウェアに感染させ、全社の情報セキュリティをリスクにさらした被告人の罪は重く、よって今後二度とこのような事態を招かぬよう、ノート1冊を『もう二度とマルウェアに感染しません』という言葉で埋めた上、『私はマルウェアを社内に持ち込んだ罪深い人間です』という看板を首から下げて社内の全部署に謝って回ること。さらに、死ぬほど恥ずかしい動画や画像が入った私物PCの中身を社内に1カ月間さらした後、ランサムウェアで100回上書きを掛けた上で「ディー、ドォースッ！」と叫びながら釘バットでたたき壊すこと」

　この判決内容について、情報システム部門は「量刑が軽すぎる」として、即刻控訴を決定したとのことです。現場からは以上です。

　……100％ピュアな妄想に基づくフィクションですが、しかし実際に会社にマルウェアを持ち込んだ社員に対する風当たりの強さは、相当なものじゃないでしょうか。もちろん、明らかな過失や怠慢によってセキュリテイ事故を引き起こした輩は、きっちりシメるべきでしょう。誰が見ても不審だと分かるメールを何の気なしに開いちゃったり、業務中に怪しいサイトを何度も見に行ったり、外でよっぱらってノートPCを何度も紛失したり……こういう輩、実際いますしね。

標的型攻撃メールへの注意喚起（出典：IPA 独立行政法人情報処理推進機構）

　ただ最近のサイバー攻撃は本当に手が込んでいて、どれだけ気を付けていても、運が悪いと感染しちゃうんですよね。誰がどう見ても通常業務のメールとしか読み取れないような巧妙な詐欺メールやら、正規のサイトに不正コードを埋め込んだ水飲み場攻撃やら、こんなのにやられるのはもうほとんど交通事故みたいなもの。交通事故に遭った社員に対して、「お前が不注意で交通事故に遭ったから、会社はこれだけの損害を被ったんだぞ！　どう責任を取るんだ！」と詰めまくる会社なんて、あまりないですよね。

　つまり、セキュリティ意識はそこそこ持っていたはずなのに、不幸にしてインシデントを引き起こしてしまった社員をつるし上げるのは理不尽だし、何より怖いのは、それによって“社内の雰囲気が変に萎縮してしまう”こと。「怒られないように、社外とのメールのやりとりはなるべく控えよう」「外にPCを持ち出して仕事するのはもうやめよう」。こうなっちゃうと、業務そのものに対する取り組みが後ろ向きになって、会社全体の収益にも悪影響が出てしまいます。

　これからのセキュリティ対策は、「感染したらアウト」ではなく、「感染してもアウトにならない仕組みを考える」ことが重要なのかもしれません。ITを使ってマルウェアの感染をきっちり検知し、ITで情報が漏えいしないよう通信を止める仕組みを用意してはじめて、「万が一」のときでも攻撃を食い止めたといえるのではないでしょうか。

　少なくとも、現場を「シメまくる」「詰めまくる」ようなやり方は、あまり得策ではなさそうです。

セキュリティ記事ランキング

本日
週間
半月
月間

連載：「ここがヘンだよ、セキュリティの常識」記事一覧
あなたのメールも“完コピ”される――JALすらハマった「ビジネスメール詐欺」の恐ろしさ
偽メールにだまされ、3億8000万円ものお金を失ってしまった日本航空。まさに“企業版オレオレ詐欺”とも言うべきものですが、やりとりをほぼ“完コピ”したメールを見抜くのは、皆さんの想像をはるかに上回る難しさなのです。
「こんなの怪しくてすぐ見破れるwww」　最近のフィッシング詐欺はそんな人が引っ掛かる
ここまで手の込んだフィッシングメールが出てくると、「自分もだまされるかもしれない」と思っているくらいがちょうどいいのかもしれません。
標的型攻撃への対応、正解は「ファイルを開かない」……だけではない
「これって、昨日の訓練でやったのと同じ詐欺のパターンだ！」――。そう気付いたコンビニ店員が特殊詐欺を見破るという大手柄を挙げました。この事件が示唆するこれからのセキュリティ対策のポイントとは？
1日5分でできる、ランサムウェア対策
大事なデータを勝手に暗号化し、身代金を要求するランサムウェア。その被害は個人にも及んでいます。今回は、被害にあって絶望しないための対策法を紹介します。
あっという間に古くなる“ITの常識”に乗り遅れない方法
2～3年前の常識があっという間に通用しなくなるITの世界。乗り遅れないためにやるべきこととは。