関連するソリューション
サイバーセキュリティ
ID-Ashura/セキュリティサービス
こんにちは!サイバー・セキュリティ・ソリューション部マーケティングの岸本です。
当社サービスや製品のマーケティング・プロモーションを担当しており、メルマガ、セミナー、展示会、訪問等でお世話になっております。
今後はこちらのコラムでも皆様と繋がりたいと思っております。どうぞ宜しくお願いいたします。
本日は当社サービス「
標的型攻撃メール訓練サービス
」を定期的に実施すべき3つのポイントについて紹介したいと思います。
簡単に「標的型攻撃」について説明すると、特定のターゲットに向けサイバー攻撃を仕掛ける事が特徴であり、またその多くがメールを利用して行われます。
2015年の日本年金機構、
2016
年の株式会社ジェーティービーの事件で一躍有名になりました。2つは数年前の事件ですが、「標的型攻撃による被害」が
IPA
の情報セキュリティ
10
大脅威
2019
でも組織部門で1位をとっていることからも分かるように、未だに進化し続け猛威を振るっています。
外部サイト:
IPA
情報セキュリティ
10
大脅威
外からの侵入をいかに防ぐかという「入口対策」、情報の持ち出しを見張る「出口対策」等セキュリティ対策を行う事はもちろん大切ですが、標的型攻撃メールは巧妙に偽装しセキュリティ網をかいくぐってきます。
そこで!一番の対策となるのが各従業員の
IT
リテラシーとセキュリティ意識の向上であり、そのためには標的型攻撃メール訓練サービスを定期的に実施するのが最も効果的です。
では理由とポイントを見ていきましょう。
■ポイント1■不審なメールを見分ける目を持つ
「問い合わせ」「業務連絡」「見積書添付」等、受信者が不審に思わないよう高度な騙しテクニックが用いられます。
ここでは
2
つの例を挙げていきます。
どうでしょう。クリックしてしまいそうになりませんか?
【要回答】【緊急配信】等という言葉を使い、私たちを煽ってきます。
総務部に佐藤さんが在籍していればより信憑性が高まる典型的なばら撒き型の標的型攻撃メールです。
こちらは
WEB
からの問い合わせや営業をされている方には開いてしまいそうな添付がついています。ここでの不審点はドメインです。会社名とドメインが一致していない点が不審ポイントです。
IPAからも「標的型攻撃メールの例と見分け方」が詳しく公開されているのでご覧ください。
外部サイト:
IPA
「標的型攻撃メールの例と見分け方」
不審なメールを見分ける目を持つ、ということは一朝一夕では身につきません。訓練を何度も繰り返すことが必要です。
■ポイント2■標的型攻撃メールを疑似体験し、その後の対応力を身に着ける
標的型攻撃メール訓練サービスは、防災訓練と同様に「災害を起こさない」ためではなく「災害時にどのように動けば良いのか」を体験・学習するサービスでもあります。よって、受信したメールが訓練の攻撃メールだと気づかずに、そのままファイルを開いたり
URL
をクリックしてしまっても問題ありません。
その後の対応
が大切です。
「端末から
LAN
ケーブルを抜く」「社内のセキュリティ担当へ連絡する」等、社内で定められているルールが社員一人一人に浸透しているか、認識しているか、きちんと対応出来るかを計る事が出来ます。また、社員も「ルールを認識している」と「訓練で実際に体験した事がある」には大きな違いがあります。
ルールに従った適切な対応をとることで、何もしなかった場合と比べ、標的型攻撃による被害を最小限に抑える可能性が高まります。
■ポイント3■業務プロセスの改善をする
担当者は訓練をして終わりではありません。実施後に報告するレポートからは様々な問題が読み取ることができます。
例えば開封数(クリック数)ですが、そちらの総数を下記3つのように分類する事が出来ます。
A.不審な点に気づかず開封(クリック)した
B.開封(クリック)し不審な点に気づいたが、しかるべき対応をとらなかった
C.開封(クリック)し不審な点に気づいた為、社内ルールに沿った対応を行った
【A.不審な点に気づかず開封(クリック)した】
この場合は見極めポイント等のセキュリティ教育を行う必要があります。
【B.開封(クリック)し不審な点に気づいたが、しかるべき対応をとらなかった】
この場合は実施後のアンケートからその要因を洗い出す必要があります。
「訓練なので対応しなかった」「対応方法を知らなかった」「忙しかった」など様々ですが、要因次第ではセキュリティ担当部門でルールを整備・周知し、次回の訓練でルールが順守されているか確認することが出来ます。
【C.開封(クリック)し不審な点に気づいた為、社内ルールに沿った対応を行った】
この場合は現在のルールが煩雑であったり改善すべき点がなかったか見直す材料になります。
セキュリティ担当部門が机上や小規模テストで定めたルールは、実際に運用してみないと分からない部分も多くあります。そのような点を洗い出すのにも訓練を実施すべきポイントとなります。
最後に
訓練を実施すると現場に混乱が起きるのではないか、担当者の負担が大きくなるのではないかという心配の声をいただく事もあります。当社の訓練サービスでは、「添付ファイルを開いた」や「
URL
をクリックした」際に即座に訓練と分かるよう種明かしの仕掛けをご用意しております。
その際、社内ルールで「標的型攻撃メールを受信した際は即座に担当部門へ電話する」というように定められていても「今回は訓練ですので電話対応は不要です」等と記載することでご心配は回避可能です。
当社の標的型訓練サービスは営業が丁寧なヒアリングを行いますので、お客様のご予算、ご状況や訓練実施の目的に合わせセミオーダー形式でサービス提供しております。
ご心配がございましたら納得いくまで相談ください。
サービス開始から数年、数多くの企業様にご利用頂き、好評をいただいております。そのため毎年定期的に実施していただく企業様もおられます。
話題になるセキュリティインシデントが起こったときはもちろんですが、日頃より防災訓練のようにサイバー攻撃に対しても訓練を行ってみては如何でしょうか。
お気軽にお問い合わせ下さい。
最後までお読みいただきありがとうございました。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
