情シス Secret Method

標的型攻撃メール訓練サービスとは? 自社で利用してみたら、3つの大きな効果があった話

​​​​​​​

ランサムウェア対策のひとつとして、標的型攻撃メール訓練サービスが注目を集めています。

『聞いたことはあるけど、、、本当に効果あるの?』
と考える方もいるでしょう。

全従業員のITリテラシーが非常に高い会社では効果は薄く、必要ないかもしれません。
しかしながら、全員のITリテラシーが高いという稀有な状況以外では効果を発揮します。

とくに「自社のセキュリティリテラシーのレベルを把握したい」、「リテラシーレベルが低い従業員もいる」といったことをお考えであれば、多くの効果が見込めるでしょう。

本記事では、弊社が実際にメール訓練サービスを利用し、社内のセキュリティリテラシーを向上させた事例について、具体的なメール内容も掲載しながら解説していきます。

目次[非表示]

  1. 1.従業員のセキュリティ意識を高める標的型攻撃メール訓練サービス
  2. 2.標的型攻撃メールに対する訓練の必要性
  3. 3.実際に標的型攻撃メール訓練を利用してみた
    1. 3.1.実際に送信された内容
    2. 3.2.利用した感想
    3. 3.3.得られた3つの効果
  4. 4.まとめ

従業員のセキュリティ意識を高める
標的型攻撃メール訓練サービス

標的型攻撃メール訓練サービスとは、重大な情報を盗むことなどを目的としたウイルス付きメール(標的型攻撃メール)をなぞらえた「訓練メール」を、抜き打ち的に従業員に送信するサービスです。

従業員に対して、攻撃メールへの意識向上および初動対応について、教育訓練することが可能です。

標的型攻撃メールに対する訓練の必要性

残念なことに、ランサムウェアを含むサイバーアタックは日々進化を続け、その数を飛躍的に伸ばしています。
警察庁が発表した資料によれば、2020年における標的型メール攻撃は4,119件ありました。

添付されるウイルスの形式も変化しており、通常業務で利用されるWord形式などにして見破りづらくし、受信者をより巧妙にだまそうとしています。
 
参考:令和2年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_cyber_jousei.pdf
 
※ランサムウェアについて詳しくはこちら


実際に標的型攻撃メール訓練を利用してみた

日々進化を続けるサイバーアタックには、さまざまな対策手段が存在します。
エンドポイントセキュリティなどを施すセキュリティソフトや、バックアップソリューションなどの技術的対策はもちろん重要ですが、標的型攻撃メール訓練などによる「従業員のセキュリティリテラシーの向上」も欠かせない対策のひとつです。
 
弊社では「従業員のセキュリティ教育」に重きを置き、常に啓もう活動を続けています。
その一環として、標的型攻撃メール訓練サービスを実際に弊社内で利用しました。

今回は、実際に利用した感想や得られた効果などの詳細を、以下に記します。
 
*標的型攻撃メール訓練サービス利用時概要
 ・本取り組みを事前に知っていた者は、情報システム部門の一部の従業員のみ
 ・訓練メールは、取り組みを知らない従業員に送信
 ・訓練メールは、業務時間帯に送信
 ・訓練メールにはURLリンクが含まれており、クリックすると開封した日時などの
  アクセスログが標的型メール訓練サービス提供企業のサーバに送られ
  同時に訓練用の警告コンテンツが表示される


実際に送信された内容

以下の画像は、実際に取り組みを知らない従業員に送られた、訓練メールの本文です。
本メールは、通常の別業務を行っている最中に送られました。
メール文は一例で、URLリンクではなくファイルが添付されている形式など、いくつかのパターンがあります。

※個人を特定できるような内容などは一部削除・変更しています。

画像が閲覧できない場合は、以下をご覧ください。
 
===
件名:【ご案内】ITリテラシー研修の実施について
送信者:コンプライアンス室 池田<メールアドレス>
2021年11月17日10:03
 
本文:
皆様
今月よりコンプライアンス室の主任となりました、池田です。
 
近年はTwitterやLine等、SNSによるトラブルが多発し、改めて安全なインターネットの利用が求められています。
そこで、皆様のITリテラシーの向上をめざし、来月初めに当室主催のITリテラシーの研修を実施することとなりました。
 
皆様一人ひとりのITリテラシーが評価されます。特に低いと評価された方については追加で研修を実施していただくことになりますので、事前に下記案内をご確認の上で、研修にお臨みください。
 
<URL>
http://~~~~~~~~~~~~~~~~~~~

コンプライアンス室 池田
===


利用した感想

まず感じたのは、「メール文面など社内文化的な側面での違い」でした。
弊社では、「お疲れ様です。〇〇部の✕✕です。」といった一般的な定型文を利用しておりますが、本メールでは、そういった文面ではないことに違和感を覚えます。

また、メールアドレスが弊社のドメインではなかったこともおかしいと思うポイントですが、送信者欄の記載方法も弊社では「氏名<メールアドレス>」となっていますが、今回は「コンプライアンス室 池田<メールアドレス>」となっていることもおかしいと判断できるポイントとなっています。

実際に、本メールが送られた際も、Slackなど別コミュニケーションツールを利用し、「変なメールがきている」「開けないように」といったやりとりを、即座に各従業員が取り合っておりました。
 
しかしながら、弊社でも約1割の従業員が上記のリンクをクリックしてしまっておりました。
また、「顧客のふりをして送られた場合には、クリックしてしまうかも」といった意見もありました。

時刻を見てもらえばわかるとおり(平日の午前中)、通常業務中に送られてきたメールのため、流れ作業でメールを確認し、よく中身を確認しないままクリックしてしまったり添付ファイルを開いてしまったりする可能性は大いにあります。

この点に関しては、全従業員に対して、受信したメールのメールアドレスや送信者欄を常に確認することを再教育し、全社での共通認識としております。
また、少しでも怪しいと感じた場合は、即時上長にエスカレーションするなど、報告経路についても再度明示して、実際の標的型攻撃メールの対処を行うこととしております。


得られた3つの効果

上述した通り、弊社でもURLをクリックした従業員が1割ほどおりました。
セキュリティの研修や勉強会、テストを行い、普段から注意を促されていた弊社でも、、、です。

結果として弊社で得られた効果は以下の3つだと考えております。
 
*得られた3つの効果
 ・メール文面という会社の文化的な側面が、サイバーアタックに気づくきっかけに
  なることを従業員に周知できた
 ・実際の攻撃を受けた場合、誰がどのように報告して状況をまとめるべきか
  適切な報告経路を明確化できた
 ・新たな気づきとともに、従業員が持つべきセキュリティリテラシーレベルを共有できた

サイバーセキュリティに対する啓もう活動を社内で行っていない会社であれば、更なる気づきや学びを得られるのではないでしょうか。


まとめ

今回、実際にメール訓練サービスを利用して得た効果や気づきを解説してきました。

中でも、「従業員がもつべきセキュリティリテラシーレベルの共通認識化」を実現できたことが非常に大きな効果だったと言えます。

日々高度化するサイバー攻撃には、技術的対策だけでなく、従業員のセキュリティ意識教育による対策も必要不可欠です。
啓もう・教育活動は続けるほど、より高いコストパフォーマンスを発揮します。

とくにEmotetがあらためて急拡大している現在(2022年4月)では、一人のセキュリティ意識の欠如が会社全体に大きな影響を与えてしまいます。
 
「現時点で従業員に標的型攻撃メールへの意識がどれほどあるのかを知りたい」、「今後のセキュリティ対策を明確化する方法がわからない」などの課題があれば、標的型攻撃メール訓練サービスの利用は、貴社のセキュリティに十分な効果を発揮するでしょう。

メール訓練サービスをはじめ、弊社でもセキュリティ支援を承っておりますので、お気軽にご相談ください。


■関連記事
情報セキュリティの基本(cia)と3大脅威への対策とは

情報漏洩どう防ぐ?テレワークにおける企業データの守り方!|認証・認可

ゼロトラストセキュリティとは?情シス部員なら知っておきたい基礎知識

※この記事は、公開時点の情報をもとに作成しています。

土井 広毅
土井 広毅
営業兼ライター。 アイエスエフネットの多岐に渡るソリューションの営業業務、部門のマネジメントを行う傍らで、 WEBコンテンツの制作に悪戦苦闘する日々を送る。 座右の銘は「為せば成る」

サービスについてのお問い合わせはこちら

お電話でのお問い合わせはこちら
平日9:00-18:00
ご不明な点はお気軽に
お問い合わせください。
課題解決の資料は
こちらからダウンロードできます。

Seminar

Ranking

Category

Tag