標的型攻撃メール訓練のすすめ

ＪＴＢのオンラインサービスや日本年金機構の標的型攻撃メールによる個人情報流出のニュースは記憶に新しいところですが、IPA（情報処理推進機構）によると、これらの要因は、以下のようにまとめられると考えられます。

標的型攻撃メールはタイトルや文面が巧妙に作られているものの、よく見れば不審な点が多く、エンドユーザーにある程度のセキュリティの知識と警戒意識があれば、「送信者の送信ドメインを確かめる」、「添付ファイルの偽装に気づく」ことで、感染を未然に防止できるものもあります。

適切な運用管理、セキュアなシステムの構築はもちろん不可欠ですが、標的型攻撃対策には、技術的な対策だけでなく、従業員への教育対策を組合わせた「多層防御」が重要です。

そこで、従業員の標的型攻撃メールに対する警戒心の向上、維持を図ることを目的とした、「標的型攻撃メール訓練」が注目されています。「標的型攻撃メール訓練」は、自社の従業員に対し、偽の標的型攻撃メールを送信することで、各ユーザーがメールの不審な点に気付いて回避できるか、添付ファイルを開封したり本文に記載されたURLをクリックするなどの危険な行動を回避できるか、などを模擬的に訓練するものです。

サイバー攻撃のきっかけの一つとして、メールを起因とすることが多くあります。日ごろから従業員一人ひとりが怪しい攻撃メールを意識することも重要なセキュリティ対策の一つとしていえるものの、業務に追われていると、宛先や内容をあまり確認せずにうっかりクリックしてしまうケースが考えられます。

下記の動画ではサイバー攻撃の被害にあるとどうなるのか、標的型メール訓練の必要性をアニメでご紹介します。セキュリティにあまり詳しくない方でも不審なメールを見抜くポイントをご理解いただけるような内容です。ぜひご覧ください。

標的型攻撃メール訓練は、「攻撃メールであることを従業員が見抜き、開封しなかったからOK」ではありません。

不審メールの開封率を下げる（不審メールに気付くポイントを学習、体験する）ことは代表的な目的の一つですが、本当に重要なのは、攻撃を受けてからの迅速な対応です。

不審なメールを開封してしまった従業員が、即座にシステム管理部門に報告・相談するなどの正しいアクションです。標的型攻撃メール訓練の真の目的は、不審メールを開封しないことだけではなく、「開封後の対応を社内に浸透させる、習慣化を促す」ことにあります。

訓練でリアリティを追求する観点から、訓練に用いるメールの文面に実在組織名を使用するケースが増えています。

不審なメールを受信した際、送信元に確認するのは正しい対処方法ですが、受信者が実在組織に問い合わせることで、組織が事実確認に追われたり、受信者が注意喚起などの善意からSNSへ投稿してしまった場合、実在組織の風評被害が拡散したりするなどの影響が懸念されます。

訓練メールに実在の組織名や人物を使用する場合はそのようなリスクもあると理解したうえで、社員にはSNSの利用方法などのガイドラインを別途用意するようにしましょう。

SecuLiteracy（セキュリテラシー）とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。

お客様の組織に応じた教育プラン・スケジュールのご提案や、トレーニング内容の選定もお任せください。また、セキュリティ教育ご担当者様に代わり、教育実施状況の確認や教育を実施していない従業員の方々へリマインドメールをご案内します。

企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

サービス詳細はこちら≫