標的型攻撃メール訓練は無料で実施できる？ ツールと注意点とは

最恐のマルウェアとも名高いEmotetの脅威も続き、AIをはじめとしたテクノロジーでサイバー攻撃手法も巧妙化を続ける中、標的型攻撃メール対策は最早マストとなっています。

中でも、実践的で効果の高い、かつ、標的型攻撃メールに限らずセキュリティ一般の従業員の意識醸成にも役立つ標的型攻撃メール訓練は、企業としては実施しておきたいものです。

本記事では、そんな標的型攻撃メール訓練を無料で実施することについて解説します。
また、標的型攻撃メール訓練実施の際に使える標的型攻撃メール訓練 事例・サンプル集を無料で配布しています。ぜひご活用ください。

標的型攻撃メールについておさらい

まず、標的型攻撃メールについておさらいしておきましょう。

標的型攻撃とは、攻撃者が機密情報の詐取などを目的として、特定の個人・組織をターゲットに行うサイバー攻撃で、中でもメールを利用したものが標的型攻撃メールです。

特定の個人・組織をターゲットに、というのが重要で、攻撃者は、ソーシャルエンジニアリング的手法や関連人物・組織を経由してターゲットの情報を事前に調査し、ターゲットに関係のある、ターゲットが思わず開封・クリックしてしまうようなメールを送信します。
実在の人物や組織になりすますことも多々あります。

また、標的型攻撃メールの添付ファイルの開封や記載URLのクリックを行った場合、マルウェアに感染し、端末内や社内のサーバー全体が危険にさらされてしまいます。
そのため、企業においては組織に所属する全員が標的型攻撃メールに引っかからないように気を付けている必要があります。

標的型攻撃メール訓練の目的と概要

標的型攻撃メール訓練を実施する目的は、厳密には企業によって様々ですが、大きく分けると下記の3点です。

標的型攻撃メール訓練について詳しく知りたい方は、こちらを覗いててみてください。

実施する意味

先述の通り、標的型攻撃メールは特定の個人や組織をターゲットにして、巧妙に情報窃取を目指してきます。

技術的な対策として、危険なメールを受信しないようにするメールフィルタリングなどもありますが、そうしたツールをすり抜けるような攻撃手法もまったくもって一般的です。

最も確実な対策としては、従業員が悪意のあるリンクや添付ファイルを見分け、不審なメールに対する警戒心を高めることです。（技術的対策に対し、これを人的対策と言います。）

さらに、訓練は対策の評価や弱点の特定にも役立ちます。
従業員がどれだけの割合で不正なメールに引っかかるのかを把握することで、セキュリティ対策の改善点を見つけ出すことができるのです。

標的型攻撃メール訓練を実施することは、情報セキュリティをより堅牢にするための重要な手段です。
従業員の意識向上やセキュリティ対策の強化につながり、最終的には企業の貴重な情報を守ることにつながるのです。

具体的な対応内容

そんな標的型攻撃メール訓練では、大きく分けて3段階の対応内容があります。

訓練の計画を立てる

訓練の目的の確率や、対策するべき攻撃メールの特性の把握、従業員への事前教育などを実施します。

送信準備

送信対象者を決定し、文面や送信ドメイン、URLや添付ファイルを用意します。

訓練実施・事後対応

訓練対象者にメールを送信し、受信者からの報告の確認やレポーティング、従業員への再教育を実施します。

こうした内容を抜けもれなく適切に行わないと、なかなか効果のある標的型攻撃メールの実施は困難です。
やりっ放しになってしまった、定期実施したら、従業員が訓練慣れしてしまって訓練が形骸化している、高額なツールの導入で費用がかさんでしまう、等、標的型攻撃メールにまつわるお悩みは数多く耳にします。

ツール利用の費用感

さて、気になるのはツールの費用感です。

上記のように様々にやることのある標的型攻撃メール訓練をツール無しで実施するのは、なかなか、リソース的にも現実的ではありません。

標的型攻撃メール訓練サービスの費用は、訓練の頻度や参加者数、訓練のカスタマイズ可能性によって変動します。
セキュリティパートナーとの契約期間やサポートの提供範囲も費用に影響を与える要素となります。

また、送信数ごと課金かユーザ数ごと課金かでも大きく異なります。
この辺りは企業様のご希望次第ではありますが、一般的には、標的型攻撃メール訓練は定期実施が前提となるため、ユーザ数ごと課金の方が割安になると考えられます。

LRMのセキュリオはユーザー数ごとの課金ですので、費用の心配なく訓練を実施いただけます。セキュリオの料金詳細についてはサービス資料でご案内していますので、ぜひ一度ご覧ください。

そもそも無料で内製することは可能なのか

では、そんな標的型攻撃メール訓練を無料で内製することは可能なのでしょうか。

内製するために必要な準備

有償ツールの利用でかなり削減できる工数もありますが、ここでは自前での訓練実施として話を進めます。

標的型攻撃メール訓練で対策する脅威は意外に幅が広く、また、企業ごとに対策する内容・範囲・対象も変わってくるため、一概にこれだけの準備が必要、と言い切るのは難しいですが、ここでは敢えて箇条書きします。

これだけたくさんの対応事項があります。中にはエンジニアの協力が必要な事項もありますね。
覚悟して臨みましょう。

内製するメリット

内製で実施するメリットとしては、大きくはお金がかからないことにつきます。

ツールの利用で月々発生する費用がかからないというのは助かりますね。(その分リソースが割かれますが…)

また、社内の状況に即した実施がしやすい、というのも挙げられるかもしれません。

ツール利用の場合だと、やはり決められたテンプレートやフレームワーク内での訓練実施にはなってしまうため、もしかするとやりたい訓練が制限されてしまう、といったこともあるかもしれません。
余談ですが、ツール選びの際は、この辺りのカスタマイズの利くものがいいですね。

内製する際の注意点

ここまでで十分伝わったかと思いますが、標的型攻撃メール訓練を内製するにはかなり注意点があります。

まず第一に、十分な技術力とリソースが必要です。

内製には、メール訓練の計画、設計、実施、および最適化といった各フェーズでの専門知識とスキルが求められます。
さらに、セキュリティ対策の最新トレンドや攻撃手法の理解が不可欠です。
標的型攻撃は常に進化しているため、内製する際には情報収集と継続的な学習が不可欠になります。

最後に、内製する際には適切な評価と改善が欠かせません。
訓練の効果を定量的・定性的に評価し、改善点を特定して対策を強化することが重要です。

標的型攻撃メール訓練サービスの内製は、企業の情報セキュリティ向上に有効な手段ですが、上記の注意点を把握し、十分な準備と対策を行うことが求められます。

無料で使えるツールキット

標的型攻撃メール訓練を内製するにあたって利用できるツールがあるのをご存じでしょうか。

Gophishは、オープンソースのツールキットで、フィッシングメールや標的型攻撃メールの訓練実施が可能です。
利用するには、Githubから自社で利用しているOSに合ったバージョンをダウンロードします。Windows、Mac、Linuxに対応しています。

訓練実施の流れとしては、

また、訓練結果のレポーティングも実施できますので、ある程度の実用性もあるのかと思われます。

ただし、いくつかの懸念点もあります。

その他にも、無料ツール特有の懸念点(突然提供が終了してしまう可能性がある、サポートがない、日本語対応が不十分)も想定されますので、利用の際はその辺りを心得ておきましょう。

また、有料ツールでもデモ版やトライアル版が一定期間無料で利用できる場合が多いので、試しに使ってみるのもありだと思います。

有料ツールならLRMのセキュリオがおすすめ

ここまで無料での標的型攻撃メール訓練についてお話ししてきましたが、正直、有料ツールでの訓練実施が無難ではあります。

LRMのセキュリオの標的型攻撃メール訓練がかなりおすすめですので、ご紹介させてください。

セキュリオの標的型攻撃メール訓練の特徴

• 豊富な文面・ドメインテンプレートが使い放題
• 送信数無制限
• 多様なeラーニング教材が追加料金なしで使える
• カスタマイズも可能

まずは無料ではじめましょう！

まとめ

標的型攻撃メール訓練を内製・無料で実施する際の方法や注意点について解説してきました。

標的型攻撃メール訓練は、なかなか対応することも多く、それでいて適切に実施しないとしっかり効果に結び付いていかない難しさがあります。

内製するかしないか、無料/有料のツール利用も含めて検討したうえで、自社に合った訓練の実施をしていただけますと幸いです。