標的型攻撃メール訓練のすすめ

個人情報流出の主な要因は人の脆弱性？！

ＪＴＢのオンラインサービスや日本年金機構の標的型攻撃メールによる個人情報流出のニュースは記憶に新しいところですが、IPA（情報処理推進機構）によると、これらの要因は、以下のようにまとめられると考えられます。

標的型攻撃メールはタイトルや文面が巧妙に作られているものの、よく見れば不審な点が多く、エンドユーザーにある程度のセキュリティの知識と警戒意識があれば、「送信者の送信ドメインを確かめる」、「添付ファイルの偽装に気づく」ことで、感染を未然に防止できるものもあります。

適切な運用管理、セキュアなシステムの構築はもちろん不可欠ですが、標的型攻撃対策には、技術的な対策だけでなく、従業員への教育対策を組合わせた「多層防御」が重要です。

標的型攻撃メール訓練とは

そこで、従業員の標的型攻撃メールに対する警戒心の向上、維持を図ることを目的とした、「標的型攻撃メール訓練」が注目されています。

「標的型攻撃メール訓練」は、自社の従業員に対し、偽の標的型攻撃メールを送信することで、各ユーザーがメールの不審な点に気付いて回避できるか、添付ファイルを開封したり本文に記載されたURLをクリックするなどの危険な行動を回避できるか、などを模擬的に訓練するものです。

標的型攻撃メール訓練の注意点　①実施目的を明確化する

標的型攻撃メール訓練は、「攻撃メールであることを従業員が見抜き、開封しなかったからOK」ではありません。不審メールの開封率を下げる（不審メールに気付くポイントを学習、体験する）ことは代表的な目的の一つですが、本当に重要なのは、攻撃を受けてからの迅速な対応です。不審なメールを開封してしまった従業員が、即座にシステム管理部門に報告・相談するなどの正しいアクションです。標的型攻撃メール訓練の真の目的は、不審メールを開封しないことだけではなく、「開封後の対応を社内に浸透させる、習慣化を促す」ことにあります。

（参考）標的型攻撃メール訓練の目的と活用　～効果を上げる方法～　　

「IPA【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を」別紙より抜粋

標的型攻撃メール訓練の注意点　②第三者への影響を考慮する

訓練でリアリティを追求する観点から、訓練に用いるメールの文面に実在組織名を使用してしまうケースが増えているようです。不審なメールを受信した際、送信元に確認するのは正しい対処方法ですが、受信者が実在組織に問い合わせることで、組織が事実確認に追われたり、受信者が注意喚起などの善意からSNSへ投稿してしまうことで、実在組織の風評被害が拡散したりするなどの影響が懸念され、状況によっては訴訟問題に発展しかねないと言われています。

訓練メールに使用する組織や人物の名称は、実在する組織や人物の名称やそれに類似するものは用いず、自組織のものを利用することをお勧めします。その場合でも、必要に応じて関係する部署に事前に許可を得ておく必要があることを忘れないでください。

効率よい標的型攻撃メール訓練は、ＪＢサービスにお任せください。

ＪＢサービスのOPTi Secureでは、攻撃メールを模擬した実際には無害の"訓練メール"を弊社が対象者に送信致します。訓練メールに含まれる、URLリンクあるいは添付ファイルを開封した対象者には、教育コンテンツが表示されると共に、開封した日時等のアクセスログが訓練サーバ側に取得されます。最後に訓練結果を集計し、ログデータをお渡しします。

セキュリティの専門家が訓練の準備から報告までをすべてサポートするため、安心して実施していただけます。

詳細は下記よりご覧ください。