ISMSを取得している企業 or 取得を予定している企業様がサプライチェーンセキュリティ機能を利用される際の利用の流れをご説明します。注意点がいくつかありますので、そちらもぜひご確認ください。
標的型攻撃メール対策における最大の課題は、従業員の“他人ごと”意識
標的型攻撃メールを防ぐのは難しい。ごく自然な日本語を用いて、いかにもありそうな内容のメールが送れられてくる。あの手この手で添付ファイルを開かせたり、リンクをクリックさせたりしようとする。東京商工会議所による調査では、企業の経営者や担当者でも24.0%が引っ掛かって開封したという。
コロナ禍でテレワークシフトが進んだことも事態を悪化させる一因だ。オフィスでは近くの同僚に「このメール、どう思う?」と気軽に相談できる。しかし、テレワークでは相談できる人がおらず、一人で判断する場面が増える。その結果、「まあ大丈夫だろう」とメールを開封したところ悪意のあるものだった、となってしまう。
「企業が認識しなければならない最大の課題は“従業員の意識”です」と、情報セキュリティの総合コンサルティングを提供するLRMの幸松哲也氏(代表取締役CEO)は語り、次のように続ける。
「多くの従業員は標的型攻撃を“他人ごと”だと思っています。『自分の会社は狙われないから関係ない』『情シスが対策しているから自分にメールは来ない』と考え、世間で起きている事件を対岸の火事だと思っています。そのため、いざ狙われたら簡単に引っ掛かってしまいます」
企業規模が大きくなればなるほど、標的型攻撃の危険性は増していくと幸松氏は語る。
「50人の企業であれば、半分の人が『関係ない』と思っている場合、25人のセキュリティ意識を向上させればよいでしょう。しかし、1万人の企業で半分が『関係ない』と思っている状況では、抱えるリスクが大きくなります。大企業ではサプライチェーンが形成されており、多数の取引先とつながっています。中には教育にリソースが避けないために、脆弱(ぜいじゃく)な企業が残っているでしょう。そこを突破口として大企業を狙う攻撃手法が一般化しつつあります」(幸松氏)
何度でも繰り返し訓練できる情報セキュリティ教育クラウド「セキュリオ」
セキュリティ対策を担う情報システム部門は多くの業務に追われており、従業員のセキュリティ教育に時間を割けていない場合がある。セキュリティ教育を気にかける経営層などから「標的型攻撃メール訓練をやりなさい」という命令を受け、目的がはっきりしない教育を単発で実施することもある。幸松氏は「単発の訓練で満足するのではなく、従業員のセキュリティ意識が醸成されるまで、何度も訓練を繰り返すことが重要です」と強調する。
「だが問題があります。従来の標的型攻撃訓練のサービスは、1回当たり何通メールを配信するかによって価格が決まるものがほとんどだからです」(幸松氏)。繰り返し訓練するとその都度コストがかかる。配信数に制限があるため、全従業員をカバーできないケースもある。
そうした中、LRMは情報セキュリティ教育クラウド「セキュリオ」を打ち出している。
「セキュリオは従業員のセキュリティ意識向上や企業のセキュリティレベル可視化、ISMS(情報セキュリティマネジメントシステム)などの認証運用管理用のクラウドサービスです。定額で何度でも全従業員を対象に訓練を繰り返すことができます」(幸松氏)
LRMは標的型攻撃メール訓練用の模擬メールを随時アップデートしている。企業側で独自のメールを用意して、よりリアルなシチュエーションを設定することも可能だ。ダッシュボードで従業員のセキュリティレベルを可視化することで、特定の従業員を集中的に訓練できる。
標的型攻撃メール訓練以外の機能もある。70種類以上のeラーニング教材やセキュリティアウェアネス、社内アンケート、セキュリティニュースなどだ。セキュリティアウェアネスは情報セキュリティに関するミニドリルだ。LRMの情報セキュリティコンサルタントが監修した設問を定期的に出題できる。回答することでセキュリティ意識が養われるとともに、企業側は回答のスコアで自社のセキュリティレベルの推移を把握できる。
「私はセキュリティの最前線でコンサルティングを続けてきました。そこで企業が抱えるセキュリティに関する課題はどこも似ているということに気付き、汎用(はんよう)製品を開発できるのではないかと考え、セキュリオの提供に至りました」(幸松氏)
セキュリオのプロフェッショナルサービス(オプション)では、カスタマーサクセスにつながりやすい模擬メールの作成方法や、企業に合わせたコンテンツ活用プランをアドバイスする。効果的なセキュリティ教育について、幸松氏は以下のように語る。
「訓練、教育、アウェアネスの3つを同時並行で繰り返すことが重要です。セキュリティについて新しい知識を学び、セキュリティ意識を変えるために日常的にアウェアネスに触れる一方で、訓練で失敗を経験すると『自分も引っ掛かるんだ』と気付きを得る。そうすることで、セキュリティは人ごとではなく自分ごとだと考えられるようになり、従業員の行動変容につながります」
セキュリオの導入は多忙な情報システム部門にもメリットがあるという。
「セキュリティは情報システム部門にとって“取り組まなければいけないけれど面倒くさい仕事”ではあるものの、サービスで巻き取ることができます。セキュリティ教育はユーザー部門との間で対立構造が生まれやすい領域です。セキュリオがそこを引き受けることで、争いから情報システム部門を解放したいと考えています」(幸松氏)
学べる体験会実施中!
導入を進めるにはまず役員に“自分ごと”だと感じてもらう
セキュリティに関する製品やサービスは、導入したからといって企業の売り上げが直接上がるわけではなく、コストが削減されるわけでもない。情報システム部門が導入したいと考えても、稟議(りんぎ)を通すのは容易ではない。
そこで同社が推奨するのは「役員に標的型攻撃を自分ごとだと思ってもらうこと」だ。大企業での導入で実際に功を奏した方法は、無料トライアルで標的型攻撃メール訓練を実行することだった。添付ファイルを思わず開いてしまいそうな模擬メールを役員に送る。攻撃を体験して誰でも被害に遭う可能性があると分かれば、サービスの導入は前に進む。
スモールスタートという方法もある。ある部門でサービスを導入して開封率やアウェアネスのスコア推移を見守り、その成果を持って別の部門に水平展開するという方法だ。
「セキュリオ」の標的型攻撃メール訓練事例
- 多数の知財を抱える医薬品メーカー
- 従業員規模:5000人
四半期の標的型攻撃メール訓練を実施後、経営層から重要性を評価され、今では毎週訓練を実施 - 多数の顧客を持つ大手ハウスメーカー
- 従業員規模:3000人
標的型攻撃メール訓練を不定期に実施し、引っかかった従業員に重点的に教育や研修を実施 - 販売データや知財が重要な製造小売業
- 従業員規模:3000人
セキュリオのプロフェッショナルサービス(オプション)を活用し、四半期に1回の標的型攻撃メール訓練を実施。社内アンケート機能で標的型攻撃メール訓練に対する意識度調査と併せて社内の意識改善に取り組む - 2022年グロース市場に上場したスタートアップ
- 従業員規模:100人
従業員数の急激な増加に伴うセキュリティリテラシーの維持に課題を感じ、eラーニングの活用から始め、標的型攻撃メール訓練は不定期で実施 - 地方自治体
- 職員数:1000人
デジタルを活用したスマートシティーを実現するため、職員個々人のデジタル意識や個人情報取り扱いに関する意識向上施策の一端として標的型攻撃メール訓練を活用
標的型攻撃メール訓練を1回無料(結果レポート付き)でおこなえます!
TechTargetジャパン 2022年12月19日掲載記事より転載
本記事はTechTargetジャパンより許諾を得て掲載しています
https://techtarget.itmedia.co.jp/tt/news/2212/14/news07.html
