皆さんこんにちは、CEOの上口稚洋です。
ますます巧妙化するサイバー攻撃の脅威。近年では、国内企業における標的型メール攻撃が多発しており、その被害は企業の規模を問わず深刻な影響を及ぼしています。
IPAの調べでも標的型攻撃の脅威は常に上位に入っています。
そのため、従業員一人ひとりがそのリスクを理解し、適切に対応できる教育が組織に求められています。
そこでこの記事では、効果的な対策として注目される標的型メール訓練について、実施の流れから訓練の効果を高めるポイントまでを解説します。
標的型メール訓練とは
標的型メール訓練は、実際の攻撃に備えるための重要な取り組みです。まずは訓練の基本的な概要と目的、そして企業が得られる具体的なメリットを説明します。
標的型メール訓練の概要
標的型メール訓練とは、標的型攻撃メールによる被害を未然に防ぐためのセキュリティ対策です。
訓練では、擬似的な攻撃メールを従業員に送信することでセキュリティ意識を向上させ、現実的な対応力を養うことができます。さらに、訓練結果を分析することで、より効果的なセキュリティ対策を講じることが可能です。
企業にとってのサイバー攻撃は、自然災害と同じく「いつ起こるかわからない脅威」です。
そのため、標的型メール訓練は、サイバー攻撃に備えた防災訓練のような役割を果たします。
標的型メール訓練の目的
標的型メール訓練の目的は、「被害を未然に防ぐ力」と「起きてしまった時の対応力」です。
従業員一人ひとりに標的型攻撃メールを見分ける目を養い、紛れ込む巧妙な攻撃メールを「何かおかしい」と感じ取れる判断力を育てていきます。
さらに、もしもメールを開封してしまった場合でも、決められた手順で速やかに報告する習慣を身につけます。
導入のメリット
標的型メール訓練導入のメリットは、主に以下の4つがあげられます。
- サイバー攻撃の危険性を具体的に学べる
- 標的型メールを見抜く力が身につく
- マルウェア感染リスクを低減できる
- マルウェア社内のセキュリティポリシーが従業員に浸透する
昨今の標的型攻撃メールは、会社ロゴや取引先の署名まで精巧に模倣しており、一見しただけでは正規の業務メールと区別がつきません。
訓練をすることで、このような脅威に対する対処法を学び、企業全体のセキュリティ対策向上へとつなげます。
標的型メール訓練実施の流れ
ここでは、標的型メール訓練実施に向けた準備から結果の分析まで、具体的なステップを解説します。
ステップ1:訓練の必要性を検討する
標的型メール訓練を実施する前に、まず訓練の必要性を検討しましょう。
すべての企業が同じリスクを抱えているわけではないため、自社の状況を正しく把握し、適切な訓練方法を選ぶ必要があります。
また、経営層の理解と支援を得ることも重要です。具体的な数値目標を設定することで、訓練の必要性を明確に示すことができます。
ステップ2:従業員への事前教育
事前教育は、従業員のセキュリティ意識を高め、標的型攻撃メールの脅威を認識させるための第一歩です。
事前教育では、メールセキュリティの基礎知識や、不審なメールの特徴について説明します。従業員が脅威を正しく認識し、日常業務の中で警戒心を持てるよう、わかりやすく丁寧に伝えることが大切です。
ステップ3:対象者の選定
標的型メール訓練を実施するには、訓練を受ける従業員の選定が必要です。役職ごとや、ターゲットになりやすい部署を対象にするのでも構いません。
対象者が決まったら、訓練に使用するメールアドレスをリスト化して、訓練用メールのテスト送信を実施します。
ステップ4:訓練の実施
標的型メール訓練では、訓練のことを秘密にしたまま、対象者に訓練用メールを送信します。
訓練用のメールは、通常の業務連絡メールに似せたものが送信されます。例えば、「部長からの緊急依頼」や「取引先からの請求書」など、思わず開封したくなる内容に作られています。もちろんこのメールから、マルウェアに感染することはありません。
訓練用メールの目的は、従業員の行動を観察し、標的型メールに対する反応を記録することです。誰がメールを開封したか、添付ファイルに手を出したか、URLをクリックしたか。従業員の行動を追跡していきます。
ステップ5:訓練結果のデータを集計・分析
訓練用メールを送信した後、対象者にタネ明かしをして、アンケートを実施します。アンケートでは、「メールの不審な点に気づいたか」「どの部分で違和感を覚えたか」「なぜ添付ファイルを開いてしまったのか」などを質問します。
さらに、不審なメールに気づいた後の行動も重要なデータです。なぜなら、迷惑メールとして情報システム部門や上司に相談したか、またはそのまま放置したかなど、企業としての対応プロセスの実態が明らかになるためです。
収集したデータは分析を行い、訓練結果レポートとしてまとめましょう。
標的型メール訓練の効果を高める3つのポイント
標的型メール訓練を実施しただけでは、十分な効果は得られません。ここでは、訓練の効果を最大限に引き出すための重要なポイントを3つ解説します。
1.訓練後のフィードバック
標的型攻撃メール訓練の効果を高めるには、訓練後のフィードバックが重要です。
フィードバックでは、メールのどこに危険が潜んでいるのかを具体的に解説し、従業員の判断力を鍛えていきます。
一方で、誤った判断をした従業員には、学びの機会を提供できていると捉えましょう。どのような考えでその行動を取ったのかを理解して実践的なアドバイスにつなげることは、より効果的な学習となります。
2.継続的な訓練の実施
セキュリティ意識は、一度高まっても時間とともに薄れていきます。せっかく身につけた知識とスキルを維持・向上させるためにも、継続的な訓練は欠かせません。
訓練の効果を定着させるには、年3〜4回の実施が理想とされています。この頻度で訓練を行うことで、企業全体がいつも最新のサイバー攻撃に対応できる習慣を作ることができるでしょう。
3.訓練をアップデートしていく
サイバー攻撃は日々進化しています。昨年有効だった訓練内容も、今年はすでに古くなっているかもしれません。新たな脅威に対応するためには、訓練を定期的にアップデートし、現実の脅威に対応する力を養うべきです。
おすすめは、難易度や手法を少しずつ変えながら年に数回実施するサイクルです。
初回は基本的な攻撃メールから始め、徐々に巧妙な手口を取り入れていくことで、従業員のセキュリティ意識を段階的に向上させることができます。
標的型メール訓練のよくある質問(FAQ)
ここでは、標的型メール訓練のよくある質問を紹介します。
標的型メール訓練を実施しても意味がないのでは?
最近の標的型攻撃メールは巧妙で、人間の目で見分けるのは非常に難しいとされています。しかし、難しいからと言って、訓練を実施する意味がないわけではありません。
標的型メール訓練は避難訓練と同じです。完全に被害を防ぐことは不可能かもしれませんが、訓練を重ねることで適切な行動がとれる確率は大きく向上します。
実際、「日本語がおかしい」「繁体字、簡体字が使われている」など、標的型攻撃メールの基本的な特徴に気づける力が身につくだけでも、企業全体のリスクは大幅に低減します。
標的型メール訓練の開封率はどれくらい?
開封率とは、訓練メールを受信した従業員のうち、実際にそのメールを開封した従業員の割合を指します。
標的型メール訓練における開封率に、合格点はありません。理論上は0%が理想ですが、現実的には訓練を繰り返す中で改善していくものと考えるべきです。
参考として、2024年に東京商工会議所が行った標的型メール訓練のデータを紹介します。
この訓練では、対象となった従業員920名のうち、6.1%にあたる56名が訓練メールを開封しています。業種別では「卸売業」が3.1%と最も低く、「その他業種」が7.7%と最も高い結果でした。
この結果から、業種特性や業務内容によって開封率に差が出ることも念頭に置く必要があります。
標的型メール訓練の平均的な費用は?
標的型メール訓練の費用は、提供するサービス内容や企業の規模によって異なります。
例えば、A社のサービスでは基本プランが5万円台〜、B社の従業員数に応じた課金体系では1ID(1人)あたり880円〜提供されています。より高度な分析やフォローアップ研修を含むプランでは、数十万円〜です。
これらはあくまで一例です。訓練後のフォローアップがどこまで含まれるかや、分析レポートの質などで、比較検討してみましょう。
まとめ
標的型メール訓練は、企業にとって不可欠なセキュリティ対策の一環です。実際の攻撃に備えるためには、継続的に訓練を行い、従業員のセキュリティ意識を維持・向上させることが大切です。
企業のセキュリティを強化するために、ぜひ積極的に訓練を実施しましょう。
株式会社アイネットテクノロジーズでは、企業ごとの運用環境にあわせてカスタマイズ可能な標的型メール訓練を提供しています。
情報収集・マルウェアの添付・添付ファイルのリンクなど6種の攻撃パターンに対応し、350種類以上の訓練シナリオを用意。フルカスタマイズできるメール文や添付ファイルで、より実践的な訓練を実現します。
訓練結果は、レポートとデータの両面から分析可能。さらに、実施後のフォローアップで、従業員のセキュリティ意識を着実に向上できます。
事前・事後の相談も無料で承っておりますので、まずはお気軽にご相談ください。貴社のセキュリティ体制強化をトータルでサポートいたします。
