標的型攻撃メール訓練の効果を最大化するには？効果的な実施方法をご紹介

猛威を振るうサイバー攻撃、とりわけ標的型攻撃への対策として、実際の不審メールを模したものを配信する「標的型攻撃メール訓練」を実施する企業が増えていますが、セキュリティ教育・啓発のような人の意識に訴えかける施策はその効果を測る・高めることが難しい側面があります。
本記事では、標的型攻撃メール訓練の必要性について触れると同時に、効果の最大化のために考えるべきことをご紹介いたします。

標的型攻撃の脅威

近年特定の企業や組織を狙ったサイバー攻撃により、重要な情報の窃取や暗号化といったいわゆる「標的型攻撃」の被害事例が頻発しています。毎年社会的に影響が大きかったと考えられる情報セキュリティにおける事案から選出・審議・投票が行われる「情報セキュリティ10大脅威」では、直近10年連続で「標的型」のキーワードがランクインしており、近年では特に「ランサムウェアによる被害」が連続で上位にランクインしています。

■図: 情報セキュリティ10大脅威 2023(組織)


その標的型攻撃において利用される手口の一つが標的型攻撃メールです。
警察庁の広報資料を参照すると、2022年度から2023年度上半期にかけてのランサムウェア被害の動向として、不審メールやその添付ファイルはVPN機器からの侵入、リモートデスクトップからの侵入に次ぐ件数が報告されています。

▶IPA情報処理推進機構 10大脅威2023
https://www.ipa.go.jp/security/10threats/10threats2023.html
▶警察庁　令和４年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
▶警察庁　令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/

標的型攻撃メールの特徴

標的型攻撃メールは、受信者に正規のメールであると誤認させることを狙っています。不用意にメールを開封し添付ファイルやURLをクリックしてしまうと、企業のネットワークにサイバー攻撃者の侵入を許してしまうリスクがあります。
添付されたファイルを開くまたはURLをクリックすることで、コンピュータが悪意のあるプログラムに感染し、他のコンピュータに感染が拡大したり、データが窃取・暗号化されたりします。
また、URLから正規のWebサイトを装った悪意のあるWebサイトに誘導され、入力されたログイン情報などを窃取・悪用される可能性があります。
こうしたメールを特定企業の任意の相手に送付する手口もあれば、
スピアフィッシングと呼ばれるような、事前に特定の相手の情報を収集し、差出人を詐称したり正規のメールと見紛うような内容にしたりするなど、より巧妙な手口もあります。

標的型攻撃の「入り口」対策としての重要性

先述のとおりサイバー攻撃者の侵入手口として使用される標的型攻撃メールですが、システムと人両方での対策を講じることでリスクをある程度軽減することができます。システム面の対策であれば、例えば、
　・不審メールをフィルタリングして従業員が受信するのを防ぐ
　・端末にセキュリテイ対策ソフトを導入して不正プログラムの実行を防ぐ
　・悪意のあるプログラムに感染した際のネットワークからの隔離を自動化する
など様々な選択肢があります。

しかしながら、不正プログラムとして検出するのが難しい工夫がなされるなどサイバー攻撃の手口が日々新しくなるという意味で、対策に絶対はありません。
そこで、従業員一人ひとりが不審メールのリスクを理解しクリックしない、といった「人」の対策が重要となります。

万が一に備えた訓練

また、様々な業界に向けたセキュリティガイドラインに記載があるように、不審なメールを受信した際の対応手順について予め規定・周知しておくという側面もあります。不審なメールを発見した、あるいはクリックしてしまった場合に、普段から訓練して滞りなく情報連携できるようにしておくことで、万が一サイバー攻撃被害に遭ってしまった際にも迅速な対応が可能になります。

▶経済産業省　サイバー・フィジカル・セキュリティ対策フレームワーク
https://www.meti.go.jp/policy/netsecurity/wg1/CPSF_ver1.0.pdf
▶文部科学省　教育情報セキュリティポリシーに関するガイドライン
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf

セキュリティ教育の推進全般に言えることですが、「形骸化」と、それに伴う「こんなことをやって意味があるのか？」という感想が出てきてしまうのが実施担当者の悩みどころの一つではないでしょうか。昨今の情勢から標的型攻撃メールに関する教育を実施する組織が増えていることは喜ばしい事実である一方、「毎回同じ内容でマンネリ化している」「やること自体が目的になっている」といったことがよくあります。これらを回避するために、効果的な運用を目指して考えるべきことを３つご紹介します。

①可視化と評価

主に下記の4項目について変化を記録・報告することで、効果を示すことができます。特に、「報告率」に関しては、訓練慣れやメールに気づかなかったという要素を排除することができる指標であり、不審メールを報告するという対応フローを適切にこなした、すなわち従業員の意識の高さの証明になると言えます。

■図: 標的型攻撃メール訓練の評価指標例

②フォロー（教育との連携）

どういった部署や従業員が開封しがちか、どういった文面に引っかかりやすいのかなど、メール訓練の実施結果に応じた教育実施が重要です。メール訓練の実施結果に基づいた教育実施だからこそ、従業員が自分ごととして受け止めた上で受講することが期待できます。また、e-learningの実施一つをとっても、繰り返し同じ内容を受講させるのではなく、トレンドを抑えたコンテンツを提供するのも効果的でしょう。さらに、次の標的型攻撃メール訓練での数値に変化があるかなど、訓練と教育をリンクさせることで、一連の施策の効果がより社内に伝わりやすくなることが期待できます。

③繰り返し実施できる体制にする

①②を実現するために、実施結果の集計やレポーティング、教育コンテンツ選定や受講管理は可能な限り省力化することも重要です。無理のない運用方法を採用することで、実施頻度の選択肢を増やすことができますし、結果に対する考察やネクストアクションの検討に時間を使うことができます。

アクセリアでは標的型攻撃メール訓練を多数取り扱っておりますが、今回ご紹介したように、評価ポイントをおさえ、レポーティングや教育の管理までツール化しし、任意の頻度で無理なく繰り返し可能で、教材の更新も毎月実施されるサービスを月額15,000円から提供させていただいております。

もちろん教育に重点を置き、座学だけでなくハンズオン形式の演習を提供するサービスもご用意しておりますので、お客様のご要望にあわせてご提案させていただきます。

サービス資料やトライアルのご相談など、下記窓口までお気軽にご連絡ください。
<お問い合わせ窓口>
▶アクセリア株式会社　セキュリティ事業本部ICS事業部
▶お急ぎの方　03-5211-7750（平日 09:30〜18:00）