セキュリティ教育は役に立たない

日経ITpro「「セキュリティ教育は役に立たない」 米SANSインスティチュート アラン・パーラー代表」からです。この記事によると

- 企業が犯罪者や国家から情報を盗まれないようにするためにどうすればいいのか。ユーザーを教育して底上げするしかないのか。

　ほとんどの攻撃では，思わず添付ファイルを実行して（開いて）しまうような内容のメールを送るなど，ソーシャル・エンジニアリングの手法が使われる。ソーシャル・エンジニアリング攻撃を教育で守るのは不可能だ。

　以前，米国の陸軍士官学校で「添付ファイルを絶対クリックするな」と徹底的に教え込んだことがある。ところが5週間後にソーシャル・エンジニアリングの手法を使ったメールを送ったところ，3000人のうち85％の学生が添付ファイルを開いた。一般の企業でも結果は同じだろう。

- ではどうすればいいのか。

　まず，添付ファイルはサーバー側ですべてPDFに変換する，HTMLメールを禁止するといった処置を取ることだ。さらに，パソコンに自由にアプリケーションをインストールできないように，ユーザーから管理者権限を取り上げてしまう。

　今，米国政府は「Secure Configuration」というポリシーを定め，このポリシーに対応したパソコンを調達することにしている。不要なサービスをあらかじめ停止し，管理者権限でのログオンができず，端末管理のために必要なソフトウエアがすべて入った状態のパソコンだ。既に50万台のシステムがSecure Configuration対応になり，400万台が導入を待っている状態だ。

　効果も上がっている。政府のシステム部門のヘルプデスクの仕事が激減したほか，パッチ・リリースから適用までにかかる時間の平均が57日から72時間に減った。企業もこうした取り組みをすることで，攻撃を防御することができるようになるだろう。

つまり、ソーシャルエンジニアリングに対して「セキュリティ教育は役に立たない」、ということです。
さらに、ソーシャルエンジニアリングは、防止も検出も難しいものです。
このほかのヒューマンエラーと合わせ、「人間」という資産の脆弱性と機能的限界、とでも考えるべきなのでしょう。