山田夕子 様

最初に一つ、質問します。
「もし、どこかの企業から情報が洩れて、自分がその被害にあったら、まずどうしたいですか?」

今回のお話は、「被害に遭った後を考えておくのも大事よね?」ということ。「マルウェア感染をどう防ぐか」「なりすましメールをどう見分けるか」という教材は様々なものがありますが、被害に遭った後にフォーカスした教材は限られており、研修の中でも端折りがちです。悲惨さばかりを強調したものもあります。

私はこの2、3年、医療機関を舞台にしたサイバーセキュリティ演習のシナリオ作成に携わり、演習の講師もしてきました。この演習は、「サイバー攻撃の被害が出たところ」から開始。優先すべきことや通報先と通報内容等をロールプレイの中で検討します。実際の医療機関でサイバー攻撃の被害が出れば、医療機器に影響が及ばなくても、多少の現場の混乱は避けられません。だからこそ、混乱を最小限にするために「被害の後」を想定した訓練を行うのですが、この考え方は医療機関以外でも役立つ部分が沢山あります。

たとえば、ストーリーを考えながら必要な対応や情報を検討するということも、その一つです。演習のように大がかりなものは難しいですが、演習シナリオからヒントを得て、セキュリティ被害への一つの備え方を紹介しようと思います。

1.自分の情報が漏洩しているという連絡があったら、最初に何をすればよいか
2.偽サイトに個人情報を入力したことに気づいたら、最初に何をすればよいか
3.自分のPCがランサムウェアに感染したら、何をすればよいか、身代金を払うべきか
4.被害をどこに通報し、何を伝えればよいか

少なくともこの4つについて、相談先や必要な情報等のメモを作ります。そして、実際に相談するつもりでそのメモを時々見直して、追加や修正をします。無理に暗記をしなくても、繰り返すことで多少は記憶に残るでしょう(と期待しましょう)。

被害にあった時に慌てないようにするのは難しいですが、一度考えた経験があれば、思い出すことで、「知らない」から「聞いたことがある」へのステップアップができます。被害に遭わないようにすることも重要ですが、被害に遭った時に、適切な方法で回復を早めることも忘れないで欲しいと思います。

「慌てないように一緒に考えましょう? セキュリティ被害のその後」

最後に、いくつかの相談先を紹介しておきます。(URLは関連リンクへ)
・情報セキュリティ安心相談窓口 (運営元:IPA(独立行政法人情報処理推進機構))
・迷惑メール相談センター (運営元:一般財団法人日本データ通信協会)
・インターネット・ホットラインセンター (運営元:シエンプレ株式会社)
・消費者ホットライン (運営元:消費者庁)

※ 本コラムの記載内容は著者の個人的見解であり、所属団体及びその業務と関係するものではありません。

執筆者プロフィール

山田夕子 様

関西の総合病院で院内SEとして勤務する傍ら、JASA西日本監査技術WG、同サイバーセキュリティ演習WGを中心に活動中。2021年2月にSECKUN※を第1期生として修了。サイバーセキュリティとBCPの関係の考察、被害者支援へのアプローチが現在のテーマ。

団体概要

特定非営利法人 日本セキュリティ監査協会(JASA)
https://www.jasa.jp/

関連リンク

・情報セキュリティ安心相談窓口 (運営元:IPA(独立行政法人情報処理推進機構))
https://www.ipa.go.jp/security/anshin/
・迷惑メール相談センター (運営元:一般財団法人日本データ通信協会)
https://www.dekyo.or.jp/soudan/index.html
・インターネット・ホットラインセンター (運営元:シエンプレ株式会社)
http://www.internethotline.jp/
・消費者ホットライン (運営元:消費者庁)
https://www.caa.go.jp/policies/policy/local_cooperation/local_consumer_administration/hotline/
・SECKUN※ 厚生労働省×九州大学 サイバーセキュリティ教育訓練プログラム開発事業
https://cs.kyushu-u.ac.jp/seckun/

2021/6/23

※みんなのセキュリティコラムの著作権について
みんなのセキュリティコラムに掲載の記事(以下、コラム)の著作権は執筆者に帰属し、法律によって保護されています。
コラムの一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。