不審メールのリンクをクリックしちゃった！…でも、今回は「はなまる」です

情報セキュリティを担当している会社で、ちょっとしたインシデントがありました。

スタッフの方と雑談をしていると、「すみません、ちょっと相談があって……」と、ノートパソコンを抱えたスタッフさんが声をかけてきました。

話を聞くと、社長を名乗るメールの本文にあったリンクをクリックしてしまったとのこと。
「どうしたらいいでしょうか？」と、すぐに相談してくれました。

まずはネットワークを遮断し、セキュリティソフトでフルスキャンを開始。
あわせて、リンク先の内容を確認し、リスクの分析に入ります。

今回のリンクは、偽サイトへの誘導ではなく、プログラムファイルを直接指定するタイプのリンクでした。
一瞬ヒヤッとするケースです。

複数のセキュリティソフトを導入している環境でしたが、一方は問題なしと判定して通信を許可。
もう一方のセキュリティソフトが、ダウンロードされたファイルを「ウイルスあり」と判定し、即時削除していることが確認できました。

結果として、

• 他のアプリ
• 他の端末
• 他の社員

への影響はないと判断できました。

念のため、操作した端末は初期化。
当該スタッフさんには予備のPCを支給し、業務を継続できる状態にしました。

不審メールのリンクをクリックしてしまった、というケースは、原因の特定までたどり着けないことも少なくありません。
その点で、今回は状況をきちんと把握できた、いわば「成功例」でした。

では、なぜ今回を「はなまる」としたのか。

理由はシンプルです。
クリックしてから、数分以内に相談してくれたからです。

実はこの会社、予算の都合もあり、セキュリティソフトは管理者が一元管理できるタイプではなく、端末ごとに管理する方式を採用しています。

中小企業では、同じような環境の会社も多いのではないでしょうか。

この場合、社員からの報告があって、初めてインシデントに気づけるという側面があります。

だからこそ私は、「インシデントを相談しやすい雰囲気づくり」を日頃から意識してきました。

入社時の情報セキュリティ研修では、

• インシデント対応は、個人を責めるためのものではないこと
• 顧客や取引先への影響を最小限に抑えるための行動であること
• 組織として改善するための大切な機会であること

を、繰り返し伝えています。

また、日常のヘルプデスク対応でも、「初歩的な質問だから」と軽く扱うことはしません。
些細なことでも聞いていい。そう思ってもらえる対応を心がけています。

今回は、その積み重ねが形になった事例でした。

もちろん、リンクをクリックする前に気づけるのが一番です。
ただ正直に言えば、私自身もプライベートで「あっ！」となったことはあります…。

人は必ずミスをします。

だからこそ大切なのは、ミスを前提に、すぐ対応できる仕組みを用意しておくことです。

高価なシステムを導入するには、予算が必要です。
一方で、ミスをすぐに報告できる雰囲気づくりは、担当者の心がけ一つで、今日からでも始められます。

情報セキュリティで最も深刻なのは、インシデントが起きることではありません。
起きているのに、報告されないことです。

報告しやすい雰囲気は、一朝一夕には作れません。
日々の対応の積み重ねによって、少しずつ育つものです。

予算に制約のある中小企業だからこそ、「お金をかけなくてもできる情報セキュリティ対策」を、大切にしていきたいと思う出来事でした。