Amazonを名乗る「お支払い方法の情報を更新してください」というメール。実は、Amazonを偽装したフィッシングメールであることに気が付かない人は、意外と多いものです。
実際、IPAが発表した「情報セキュリティ10大脅威 2021」によると、不審なメールを起点とした脅威が1位・2位・5位にランクイン。各企業には、不正メールに対する早急な対策が求められています。
JBサービス株式会社(以下、JBサービス)は、このような不正なメールを見分けられるよう、セキュリティ教育を施し、従業員のセキュリティ意識を高めるメール訓練・教育サービス「SecuLiteracy(セキュリテラシー)」を提供しています。
「SecuLiteracy」では、認定ホワイトハッカーが教育計画を立案、評価と教育を実施してくれるといいますが、認定ホワイトハッカー達の実力や教育効果について、JBサービス株式会社 サービスマーケティング 田中 琢也氏にお聞きしました。
この記事の目次
狙われる「人」の脆弱性
サイバーセキュリティ.com
「SecuLiteracy(セキュリテラシー)」の全体像について教えてください。
田中氏
AmazonやGoogleを装い、注文内容の確認を促すなどの手口を使ったフィッシングメールは、多くの方が毎日のように受信しているのではないでしょうか。
例えば、このようなフィッシングメールがあります。
送信元のメールアドレスを確認するとMicrosoft社ではないとわかるのですが、Microsoft社からの警告メールが届いたと勘違いしメールを開封しクリックしてしまう方は少なくありません。
標的型メールやフィッシングメールなどの不正メールを見分けられるよう、セキュリティ教育を施し、従業員のセキュリティ意識を高める「SecuLiteracy(セキュリテラシー)」のようなサービスが重視されています。
サイバーセキュリティ.com
すでに、セキュリティ対策ソフトウェアや機器などを導入している企業も多いと思いますが。
田中氏
多くの企業でセキュリティ対策ソフトの導入など、テクノロジー面での対策はすでに行っています。
ただ、実践的なセキュリティ教育を実施されている企業はまだ多くはありません。情報セキュリティ10大脅威2021に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしましたが、テレワークでは従業員一人ひとりがセキュリティリスクの認識を深め、高いレベルのセキュリティ・リテラシーを持つことが重要です。
「SecuLiteracy」とは、セキュリティに対する従業員一人ひとりのリテラシーを高めるサービスです。
Knowbe4社によると通信機能を階層構造に分割した「OSI参照モデル」になぞらえ、通常7階層であるこのモデルの更に上位にセキュリティ意識向上層を、本サービスを利用することで構築し、「人」の脆弱性に対してしっかりとした対策を意識付けることを目的としています。
計画・訓練・スコアリング・教育のサイクルを回せ
サイバーセキュリティ.com
メール訓練と教育はどのような手順で行われますか?
田中氏
はい。メール訓練と教育は次のようなサイクルで繰り返し行います。
- 計画策定
- 擬似攻撃訓練
- 驚異の可視化・スコアリング
- 対象を絞った教育
この4つで1サイクルとなります。基本的にはサイクルを年2回、回します。
「SecuLiteracy」のサービスを開始後、お客様と協議し年間計画を策定します。計画は認定ホワイトハッカーがお客様ごとに作成するため、2つとして同じ計画は存在しません。
次に、疑似攻撃訓練を経て、訓練結果をレポートとして報告します。重要なのは脅威をスコアリングしたあとの教育で、従業員は試験・動画・ゲームなど様々な教育コンテンツでセキュリティについて学べます。
サイバーセキュリティ.com
サービスの中で使うツールが「KnowBe4(ノウ・ビフォー)」ですね。
田中氏
「KnowBe4(ノウ・ビフォー)」は、Know(知る)とBeforeをもじったBe4から成る造語です。脅威を事前に知る・対処するという意味が名前にこめられています。
KnowBe4では、訓練に使う標的型攻撃メールなどが作成でき、訓練メールの送信回数や宛先、メールの内容まで細かく設定できます。
サイバーセキュリティ.com
「SecuLiteracy」の訓練で使うメールの例があれば見せていただけますか?
田中氏
はい。例えばこちらはフィッシングメール訓練用メールのサンプルです。このようにシステム管理者や金融機関を称した、実際のフィッシングメールと同様のメールで従業員の訓練を行います。
サイバーセキュリティ.com
このようなサンプルを使う以外にも独自に訓練メールを作成できるということですが、どういうことですか?
田中氏
例えば、申請書のやりとりが多いというお客様企業から、過去の申請書を悪用した標的型攻撃が行われた場合を想定して、訓練メールを作りたいという要望がありました。そこで当社は、普段お客様がやり取りされているメールを基にカスタマイズした訓練メールを作成し、お客様にご利用いただきました。
昨今では、過去にメールのやり取りをしたことのある実在の人物の氏名やメールアドレスの一部を攻撃メールに悪用した「Emotet(Emotet)」と呼ばれるマルウェアの被害が日本国内で拡大しています。このような最新の攻撃事例などを取り入れた訓練も行います。
「SecuLiteracy」では、ホワイトハッカーの知見を訓練に活かせるからこそ、「Emotet」などその時々で流行している脅威に対しても、効果的な訓練や教育が可能になります。
国際資格CEH保持者を中心としたセキュリティ専門家チームが支援
サイバーセキュリティ.com
認定ホワイトハッカーはどのような能力やスキルを持った人材ですか?
田中氏
当社では、24時間365日体制の運用センターSMAC(Solution Management and Access Center)という施設があり、認定ホワイトハッカーを中心としたセキュリティ専門家チームが在籍するSecurity Operation Center(SOC)を備えています。
認定ホワイトハッカーは、知識・スキル・攻撃手法を組み合わせたスキルと「攻撃者視点」の判断力を有し効果的な防御を支援します。
サイバーセキュリティ.com
それだけのスキルを持つ認定ホワイトハッカーには、どのような条件を満たせばなれるのですか?
田中氏
認定ホワイトハッカーになるためには、CEH(Certified Ethical Hacker)に合格する必要があります。
CEHは、経産省の策定した情報セキュリティサービス基準の「脆弱性診断サービスの提供に必要な専門性を満たすとみなすことができる資格」の1つで、「ハッカーに対抗するにはハッカーのように攻撃者目線で考える必要がある」という思想に基づき設計された資格であり様々な攻撃手法やツールを熟知したセキュリティ人材の証明となる国際的に通用する資格です。
「SecuLiteracy」では、お客様企業へのヒアリングから教育実施まで常にホワイトハッカーが帆走します。ヒアリングでお客様企業特有の事情をお聞きした上で、教育訓練実施計画を策定しています。
ホワイトハッカーが徹底分析&従業員教育をバックアップ
サイバーセキュリティ.com
訓練レポートはどのようなかたちで提供されますか?
田中氏
教育レポートには2種類あります。KnowBe4上で確認できるレポートがひとつ、もう一つが「SecuLiteracy」が独自に提供するレポートです。
「SecuLiteracy」独自のレポートではKnowBe4のレポートを加味して、認定ホワイトハッカーがお客様固有の事情や懸案事項を踏まえた詳細なレポートを作成します。メール訓練と教育のサイクルを年2回実施する場合、お客様が受け取るのは年間2レポートです。
また、レポートでは、自社のセキュリティ偏差値も分かります。KnowBe4がワールドワイドでの訓練・教育の実績データを蓄積しているので、例えば、銀行、建設、保険、製造など約20のカテゴリの中で、自社がどこにいるのか立ち位置が数字として確認できるということです。
サイバーセキュリティ.com
疑似攻撃訓練後の教育はどのように行われますか?
田中氏
訓練結果をレポートし、個人及び全体のスコアを可視化したあと、各従業員が動画やゲームなど様々なコンテンツでセキュリティについて学べます。
教育用ビデオは、海外ドラマのような仕立になっているものもあり、つい見入ってしまいますよ。なお、KnowBe4は米国企業の製品ですが、日本語化されているコンテンツも多数あり、今なお日本語化対応は進められているるので、飽きる事はありません。
訓練から教育まで一連で提供できるのは「SecuLiteracy」だけ
サイバーセキュリティ.com
訓練の効果は業種や時期によって差がありますか?
田中氏
業種業態や頻度により訓練効果が異なります。例えば、IT系の企業はやはり成績が良いですし、他業種では2回目以降の訓練でも不正メールを開封してしまう率が高いです。
繰り返し訓練を実施するにより総合開封率が下がり、企業のセキュリティ偏差値が上がっていくということです。
サイバーセキュリティ.com
最後に、「SecuLiteracy(セキュリテラシー)」を特におすすめしたいのはどのような組織ですか?
田中氏
標的型メール訓練を実施されている企業やテレワークを積極的に活用されたい企業、海外展開を行っている企業には特にお勧めしたいと考えています。
メール攻撃訓練は数年前から様々な企業で行われ始めていますが、訓練だけでは一回やって不正メールに対する意識を高めるところまでで止まってしまいます。スコアリングして教育するところまでは「SecuLiteracy」以外ではありません。訓練から教育まで一連のサイクルとして提供できるのが、「SecuLiteracy」の最大の強みです。
また、セキュリティ対策ソフトウェアの導入などテクノロジー面での対策は行っているものの、これですべてのサイバー攻撃を防いでいるのかどうか分からないという企業は少なくありません。次の段階として、「人」のセキュリティ教育を強化したい企業には「SecuLiteracy」の導入をおすすめしたいです。