佐々木良一
@dayofsecurity
今日は会議が1つしかなく時間が取れたので前から気になっていた標的型メール対策について検討してみた。 今、n人の組織全員に標的型メールが送られてきたとしよう。1人でも標的型メールを開けると、組織内で被害はどんどん拡大する。
2013-04-17 19:57:25
佐々木良一
@dayofsecurity
今、i人目の人が開ける確率をPiとすると組織の中で誰かひとりが開ける確率は次式で求められる。 n PT=1-Π (1-Pi)ーー式(1) i=1
2013-04-17 19:57:54
佐々木良一
@dayofsecurity
nの値を、10、50,100、500と変え、Piの値を1.0,0.1.0.01、0.001と変えてPTのあたいを計算してみた。
2013-04-17 19:58:30
佐々木良一
@dayofsecurity
Pi 1.0 0.1 0.01 0.001 n 10 1.0 0.65 0.096 0.010 50 1.0 1.0 0.39 0.049
2013-04-17 20:00:16
佐々木良一
@dayofsecurity
100 1.0 1.0 0.63 0.095 500 1.0 1.0 0.99 0.39 上記の表よりPiを少々小さくしてもnが大きいと効果がないことがわかる。
2013-04-17 20:00:43
佐々木良一
@dayofsecurity
これが、標的型メール訓練は被害を減らすのにあまり効果がないと言われる理由だろう。むしろ、セグメントを分離するなどの対策が効果があると言えるだろう。
2013-04-17 20:01:06
佐々木良一
@dayofsecurity
さらに、今1人を除いて開ける確率が0にできたとしよう。しかし、残りの1人が開ける確率が0.3だったとすると式1よりPTは、0.3、0.4なら0.4になる。すなわちその値は一番注意力を欠く人に依存するのである。
2013-04-17 20:01:56
佐々木良一
@dayofsecurity
これが、入口対策だけでなく出口対策が必要であり、ネットワークフォレンジックなどが重要になってきている背景だろうと考えることができる。
2013-04-17 20:02:11