「標的型攻撃メールの訓練を社内で実施したいが、方法が分からない」
当記事をお読みの方は上記のようなお悩みをお持ちではないでしょうか。当記事では標的型攻撃メールのリスクと訓練を実施すべき理由を解説します。訓練の実施方法や訓練実施サービスの紹介もしているので、ぜひ参考にしてください。
標的型攻撃メール訓練について基本知識
当項では、標的型攻撃メールの基本知識や対策について解説します。訓練は標的型攻撃メールの対策の1つです。まずは基礎知識や、どういった対策があるのかを確認しておきましょう。
そもそも標的型攻撃メールとは
標的型攻撃メールは、特定の企業や個人を対象とした悪意があるメールです。攻撃者はメール本文内のリンクに誘導してアクセスさせたり、メールの添付ファイルを開かせるよう促したりして攻撃を仕掛け、個人情報や企業の秘密情報を抜き取ります。
メールの受信者(被害者)は悪意のあるリンクやファイルを開いてしまうと、マルウェアに感染してしまいます。「リンクやファイルを開かなければいい」と考えるかもしれません。しかし、攻撃者は受信者が指示に従いやすいよう、お得な情報や緊急性が高い情報だと感じる文章を送ってきます。例えば、会社の役員を名乗る送信者からメールが届き「このリンクを開いて詳細を確認してほしい」とあれば、開いてしまうでしょう。
標的型攻撃メールの被害にあうと、企業は大きな損失を受けます。こうした事態を防ぐためにも、標的型攻撃メールの対策は必要不可欠です。標的型攻撃メール全般に特化した内容は以下の記事で解説していますのでこちらも参考にしてください。
標的型攻撃メール対策の1つが社員への訓練
標的型攻撃メールの対策として以下があります。
- 標的型攻撃メールが届いたときに備えて訓練をする
- 社員のリテラシー向上のために教育を実施する
- OSやソフトウェアをアップデートし、最新化しておく
- セキュリティサービスを導入し、不審なメールをブロックする
上記を実施しておくことで、標的型攻撃メール受信を防ぐ効果が期待できます。さらに、メールが届いた場合でも被害を出さない行動ができるようになるでしょう。
標的型攻撃メールが届かないようブロックすることが、1番の対策方法です。そのために、セキュリティサービスの導入やソフトウェアのアップデートで脆弱性を防いでおきましょう。
十分に対策をしても標的型攻撃メールを受信してしまう可能性はあります。しかし、受信しても、ファイルやリンクを開かなければ、被害は生まれません。よって、日頃から社員へのリテラシー強化や、訓練を積んでおく必要があります。標的型攻撃メールに対する訓練は、社内セキュリティを守る最後の砦を強化する重要な施策です。
標的型攻撃メール訓練とは
標的型攻撃メール訓練とは、具体的には以下の施策です。
- 擬似的に作成した悪意のあるメールを社員に配信する
- メールを受信した社員がファイルやリンクを開かないことを確認する
- 万が一開いてしまった場合でも、その後の対応が適切であるか確認する
標的型攻撃メールはいつ届くか分かりません。そのため社員には事前に予告せず、ランダムに訓練を実施することが大切です。そして、メールを受信した社員たちが社内のセキュリティ規則に従った行動ができるのか確認しておきましょう。規則の例として以下があります。
- 怪しいメールが届いたら速やかに管理者に連絡する
- リンクやファイルを開かずに削除する
- 万が一、メールを開いてしまったらネットワークから切り離して、その端末を使わず管理者に連絡する
訓練によって規則に従った行動が身につけば、本当の標的型攻撃メールに対しても正しく対処できる確率が高まります。結果、標的型攻撃メール訓練は社内セキュリティを守ることにつながる大切な施策といえるでしょう。
標的型攻撃メール訓練の必要性
当項では標的型攻撃メール訓練の必要性と、訓練で期待できる効果を解説します。なぜ訓練が必要かを理解することで、社内での導入に大きく前進するでしょう。
なぜ標的型攻撃メール訓練が必要なのか
悪意のあるメールを利用したサイバー攻撃は年々増加しています。警察庁のデータから、標的型攻撃メールは件数こそ減少傾向です(令和2年:4,119件、平成29年:6,027件)が、依然として企業は脅威にさらされている状況です。
標的型攻撃メールの被害に遭ってしまうと、以下の影響があります。
- 組織の機密情報の漏洩
- システムやデータの破壊による業務停止
- 企業の信頼性や競争力低下
- ランサムウェアによる被害
標的型攻撃メールは多数の攻撃を仕掛け、社員が誰か1人でもメールの添付ファイルやリンクを開いてしまうと、不正アクセスを許してしまう可能性があります。結果として、上記の影響を受けることになり、大きな損失を生み出すことは避けられません。
こうした状況を避けるためにも、日頃から標的型攻撃メールに対する訓練を欠かさずに実施しておくことが求められます。
また標的を定めていない無差別型攻撃に対しても、訓練は役立ちます。悪意を持ったユーザーによるメールを介した攻撃に訓練は有効です。
参考:「令和2年におけるサイバー空間をめぐる脅威の情勢等について」(警視庁)
参考:「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」(警視庁)
標的型攻撃メール訓練の効果
標的型攻撃メールの訓練を実施することで以下の効果が期待できます。
- 社員のセキュリティ意識が向上する
- 標的型攻撃メールが届いた場合でも適切に対処できる
- 仮に被害に遭ってしまった場合でも必要な対処ができる
標的型攻撃メールの訓練を実施すると、社員のセキュリティ意識向上につながります。標的型攻撃メールはいつ届くか分かりません。だからこそ、訓練もランダムなタイミングで実施することが効果的です。訓練により社員は「いつかは本当に標的型攻撃メールが来るかもしれない」と自分ごととして捉えられます。
標的型攻撃メールが届いた場合でも社員がファイルやリンクを開かず、削除をすれば被害は生まれません。よって訓練により、社員にセキュリティ意識を植え付けておくことで、被害防止が期待できます。
また万が一、標的型攻撃メールのリンクやファイルを開いてしまった場合にも訓練は役立ちます。ネットワークの切断や管理者への報告を適切に実施することで、被害を最小限に抑えられる場合があるためです。訓練の時点から、標的型攻撃メールのリンクやファイルを開いてしまった場合はどうなるのか、社員に身につけさせましょう。
標的型攻撃メール訓練の実施方法
標的型攻撃メールの訓練は、以下の手順が一般的です。
- 日頃から教育を実施
- 訓練の実施内容を決定
- 対象となる社員の決定
- 訓練メールの作成
- 訓練の実施
- 効果の検証と今後の計画策定
日頃から教育を実施
訓練の前段階として、日頃から社員に対してセキュリティ教育を実施しましょう。サイバー攻撃は標的型攻撃メールだけではありません。どんな攻撃があるのか、被害に遭うとどんな影響があるのかを社員に教育し、意識を高めておくことが重要です。
教育を通じ、社員が自分ごととして捉えることが被害を未然に防ぐ第一歩です。
訓練の実施内容を決定
標的型攻撃メールの訓練内容を決定しましょう。決定する際には以下を参考にしてください。
- どの部署がどんな攻撃を受ける可能性があるか
- 過去にどんな標的型メールが届いているか
- 社員のセキュリティに対する意識はどの程度身についているか
- IPAの報告などを参考に最近の標的型攻撃メールにどんなものがあるか
これらを踏まえて、標的型攻撃メールの訓練をどういった内容で行うのか、具体的にしましょう。
対象となる社員の決定
実施内容が決まったら標的型攻撃メールの訓練対象(メールを送る)となる社員を決定しましょう。対象社員は部署単位でも、ランダムで数名でも問題ありません。
特に、ターゲットとなりやすい部署や、セキュリティ意識が低い社員に対して訓練を行いましょう。この方法により、企業のセキュリティ意識の底上げが図れます。
訓練メールの作成
実施内容や対象社員を踏まえて、訓練メールを作成しましょう。訓練メール作成に必要な情報として以下があります。
- 送信者名
- 送信元アドレス
- 題名
- 本文
- 添付ファイルやリンク
特に送信者や送信元にリアリティがある情報だと、より実践的な訓練になります。具体的には社長、上司、取引先などが挙げられます。メールの内容は、会議資料や給与明細を確認させるために添付ファイルを開かせるなど、実際に被害が出ている事例が参考になります。攻撃者が利用しそうな情報や方法を考え、対処できるよう訓練を実施しましょう。
訓練の実施
訓練メールの作成が完了したら、日時を決めて訓練を実施してください。社員が教育内容や、セキュリティ規則に従った対応ができるのか、確認しましょう。例えば、以下の対応が必要です。
- リンクやファイルを開かない
- 画面キャプチャを撮り、怪しいメールが届いたことを管理者やチームに共有する(怪しいメールの転送はしない)
- 共有したら速やかに削除する
そしてファイルやリンクを開いてしまった場合には、社員が誤った対応をしていることに気がつく仕組みにしておくことが重要です。その場合にも、社員が以下の適切な行動ができるのか確認しましょう。
- パソコンをネットワークから切り離す
- パソコン以外を使って管理者に報告する
怪しいメールに添付されているファイルやリンクは開いてはいけません。しかし、それ以上に事後の行動が適切でないと甚大な被害となる恐れがあります。各社員が適切な行動をとれるのか、確認することが大切です。
効果の検証と今後の計画策定
訓練の実施後は効果の検証を行い、今後の訓練の計画に役立てましょう。
訓練は実施しただけで終わりではありません。訓練によって社員のセキュリティ意識や、適切な行動が身についているのかを見極める必要があります。身についていなければ、教育方法や頻度の見直しを検討すべきです。
訓練では、ファイルやリンクを開いてしまったり、適切な行動ができなかったりする場合もあるでしょう。その場合は、本当の標的型攻撃メールが届いた際には適切な行動ができるよう、次の訓練の計画をしてください。
訓練をどう活かすのかによって、標的型攻撃メールへの被害状況が大きく変わるでしょう。
標的型攻撃メール訓練のサービス比較ポイント
標的型攻撃メール訓練には、複数のサービスがあります。比較する際のポイントとして以下を確認しましょう。
- 訓練の実施内容
- 予算に合っているか
- サポートやオプションの充実
- 管理者の使いやすさ
訓練の実施内容
標的型攻撃メール訓練のサービスを比較する際には、訓練の実施内容を確認してください。
訓練を実施する際に「この訓練パターンは実施できない」となると、訓練を思うように進められなくなってしまう可能性があります。例として以下のようなケースがあります。
- 全社員一斉で訓練を実施したいが、部署単位でしか選択できない
- トレンドを踏まえたメールでの訓練を実施できない
実施したい訓練パターンを事前に予測することは難しいですが、パターンが乏しいサービスは選ぶべきではありません。
予算に合っているか
予算に合った標的型攻撃メールの訓練サービスを選択することも重要です。
一般的には、訓練に十分な予算が与えられるケースは少なく、「セキュリティ強化のサービスを充実させるべきだ」となる可能性が高いでしょう。
しかし、訓練サービスを導入せず、訓練を実施しないわけにもいきません。訓練不足によって攻撃を許してしまえば大きな被害を生み出してしまうため、限られた予算でも導入できるサービスを選択しましょう。
サポートやオプションの充実
サポートやオプションが充実した標的型攻撃メールの訓練サービスを選択できると、訓練の効果が高まります。
例えば、以下のサポートやオプションがあるサービスを選びましょう。
- 実施者数や不適切な行動をした社員の数を可視化できる
- テンプレートを利用し、トレンドにあった攻撃メールを作成しやすい
- 不明点はいつでも相談できる
サポートやオプションが整ったサービスを利用して、効率よく訓練を実施し、社員のセキュリティ意識を高めましょう。
管理者の使いやすさ
管理者が使いやすい標的型攻撃メールの訓練サービスを選択しましょう。管理者が使いやすいと、訓練の実施や効果の測定、今後の計画を立てやすくなります。
訓練は重要ですが、時間をかけすぎてよいものではありません。訓練よりもセキュリティ強化や本物の標的型攻撃メールの対応に時間をさくべきです。よって管理者が使いにくいサービスだと、訓練に大きな時間を取られてしまいます。
訓練に時間がかかるから頻繁に訓練を実施しない、となってしまうと意味がありません。本末転倒とならないよう、使いやすいサービスを選択しましょう。
標的型攻撃メール訓練ができるHENNGE Tadrillとは
HENNGE TadrillはHENNGE社が提供する標的型攻撃メールの訓練サービスです。従来の標的型攻撃メールの訓練に加え、継続的かつ実践的な標的型攻撃メール対策訓練と、報告フローの定着を目指したサービスとなっています。Tadrillを利用することで、組織のセキュリティレベルの向上を実現可能です。
先述したサービスの比較ポイントに着目してチェックしてみましょう。
- 訓練の実施内容:期間中は何度でも利用でき、トレンドに沿った内容で訓練を実施できる
- 予算に合っているか:要相談
- サポートやオプションの充実:攻撃メールテンプレートの利用や、通報用のアドオンをメールサービスに導入できる
- 管理者の使いやすさ:管理者が好きなタイミングで手軽に実施できる
Tadrillを導入することで、社員のセキュリティ意識が向上し、実際の標的型攻撃メールを受信した際にも、管理者に簡単に報告が可能です。また訓練実施後の結果分析や、今後の方針の相談にも対応しています。
標的型攻撃メール訓練ができるTadrillの導入事例
HENNGE Tadrillを導入した企業の事例を紹介します。
- 株式会社ジャパネットホールディングス
- 株式会社小倉
ジャパネットの事例
株式会社ジャパネットホールディングスは通信販売事業を手がける企業です。
同社はHENNGE Tadrill導入前から標的型訓練メールを実施していましたが、メールの作成や送信、結果の集計など全ての工程が手作業でした。そのため、担当者の負荷が大きく、適切な頻度で訓練を実施できないことが課題でした。
そこですでに弊社の他のサービスを使用していたことから、HENNGE Tadrillの導入を決定したのです。HENNGE Tadrill導入の決め手となったのは、テンプレートが数多く用意されていることや、実施履歴の管理が容易であることなど、管理者の使いやすさです。
導入後、思ったよりもURLリンクのクリック率が高いことが判明し、予想と実際の社員のセキュリティ意識には乖離があることも分かりました。
株式会社小倉の事例
株式会社小倉は酒類を販売する企業です。
同社は、セキュリティ問題が発生すると取引先の迷惑になることに危機感を感じ、標的型攻撃メールの訓練サービスの導入を決めました。セキュリティ対策にはGmailのフィルタリングを利用していますが、すり抜けてしまうメールもあります。よって最終的には社員のセキュリティ意識が大切だと考えたためです。
他社サービスとの比較後、機能やサポートを踏まえてHENNGE Tadrillの導入を決めています。特に訓練後の分析や今後の相談など、アフターサポートを高く評価しています。
まとめ
標的型攻撃メールの訓練について解説しました。標的型攻撃メールはいつ送られて来るか誰にも分かりません。セキュリティサービスである程度はブロックできますが、それでも防ぎきれず、社員の手元に届いてしまうことがあります。よって社員自身で標的型攻撃メールであることに気が付き、削除や報告など適切な対応をできるよう、訓練をしておくことが重要です。
HENNGE Tadrillは社員のセキュリティ意識を向上させ、また簡単に怪しいメールの報告をできる機能も搭載されています。訓練後のサポートにも対応しているので、ご興味があれば下記リンクからご連絡ください。
