標的型攻撃メール訓練サービスの目的や、効果的な使い方を解説

標的型攻撃メール訓練の目的は？

標的型攻撃の被害から守るためにはメール訓練を行うことが有効です。しかし、重要なのは訓練を行う「目的」を明確にすることです。では、標的型攻撃のメール訓練にはどのような目的があるのでしょうか。ここからは標的型攻撃メール訓練の目的について説明していきます。

目的1.標的型攻撃メールを見抜くため

標的型攻撃メールの手口は年々巧妙になっており、業務で使うメールに似せているため見抜くことは難しいと感じるかもしれません。しかし、標的型攻撃メールの９割は多くのターゲットに対して同じ内容のメールを送信しています。このような「バラ撒きタイプ」のメールは自分に心当たりのない内容が含まれていることが多く、見抜ける余地は十分にあります。どのようなメールが標的型攻撃か見抜けるように訓練し、社員の意識を高めることができるでしょう。

目的2.受信・被害後の動きをシミュレーションするため

標的型攻撃メール対策で大切なのは被害を防ぐだけでなく、被害が拡大しないようにすることです。そのため、標的型攻撃と思われるメールを受信したり、添付ファイルやURLを展開してしまった後の動きが重要です。このように、あらかじめ標的型攻撃メールをシミュレーションすることで、実際にメールが送られてきたとき、適切に対応できるでしょう。

標的型攻撃メール訓練の特徴は？

充実した標的型攻撃対策を行うためには、標的型攻撃メール訓練の特徴を押さえておくことが必要です。ここからは標的型攻撃メール訓練の特徴を説明していきます。

特徴1.メール受信の疑似体験

標的型攻撃メール訓練を行うことで、実際にどのようなメールが送られてくるかを体験することができます。この訓練では添付ファイルを開封すると警告メッセージが表示され、開封してしまった社員はどのようなメールが危険か経験できます。標的型攻撃の存在を知っていても、具体的なメールの特徴を知らない社員は多いため、体験することで社員の認識を高められます。

特徴2.社内のセキュリティ意識の見える化

この標的型攻撃メール訓練では、添付ファイルの開封率をカウントでき、部署や役職別に集計を行えます。開封してしまった社員も特定できるため、情報セキュリティの意識が低い相手だけ個別に対応することが可能です。また、メール自体を開封していないケースも想定されるため、訓練を行ったあとにフィードバックをすると良いでしょう。

なぜメール訓練は意味がないと思われることが多いのか？

ここまでの説明のようにメール訓練を行うことで社内セキュリティ意識は向上するため、有意義と感じる方は多いでしょう。しかし、このメール訓練は「意味がない」と思われることも少なくありません。どのような点が意味がないと思われるのでしょうか。ここからはメール訓練の意味がないと思われる理由について説明していきます。

理由1.メールの開封率が低いから

まず第一の理由は、「メールの開封率が低いこと」です。このメールの開封率とは、添付ファイルを開封した割合を意味します。開封率が低いため自社のセキュリティ意識に問題がないと判断する企業も少なくありません。しかし、開封率だけで判断するのはおすすめしません。その理由は開封率とセキュリティレベルは一致しないからです。 例えば、複数回メール訓練を行えば、メールの内容も似るため開封率が下がるのも当然です。重要なことは開封率で判断するのではなく、標的型攻撃メールであるかを判断する能力があるか確認することです。

理由2.添付ファイルを開かなければ十分だと認識されているから

標的型攻撃の対策として「怪しい添付ファイルは開かない」というのは鉄則です。そのため、添付ファイルを開かなければ良いと単純に考える人は後を絶ちません。しかし、必要な添付ファイルは開封しないと業務が進まないため、「添付ファイルを開かなければ十分」という認識は誤りです。 重要なことは添付ファイルが危険かどうか判別するスキルと、開封してしまった後どのように行動するかです。セキュリティに課題を感じているのであれば、メール訓練の目的と特徴をよく理解することが重要でしょう。

目的別でみるメール訓練の効果を高めるポイントとは？

ここまで説明したように、メール訓練はただ実施すれば良いというものではありません。では、メール訓練を行うためにはどのようなポイントを意識すれば効果を高めることができるでしょうか。

ここからは目的別にメール訓練の効果を高めるポイントについて説明していきます。

目的別1.標的型攻撃メールを見極める場合

標的型攻撃メールを見極める目的でメール訓練を行う場合は、あえて不審な点を盛り込んだメールを送ることがポイントです。実際にどのような点を警戒すべきか、身をもって知ることでセキュリティ意識は高くなります。 また、一般財団法人日本サイバー犯罪対策センターでは、実際に送られてきた標的型攻撃メールを公開しているため、参考すると良いでしょう。今までに標的型攻撃メールを受け取ったことがない場合であれば、本当に送られたメールに合わせた内容を送信することで、社内のセキュリティレベルも把握できます。

目的別2.標的型攻撃メールを受信した対応を考える場合

メール訓練を行う２つめの目的は、メールを受信してしまった後の対応シミュレーションです。このような場合は、先程と違い判別が難しいメールの内容を使用します。社員の対応力を見るためには、実際に添付ファイルを開封し、警告が表示されてからどのように行動するのかを観測する必要があります。 警告が現れても無視して業務を続ける社員も存在するため、社内ルールの確認の意味も含め実施する方が良いでしょう。メール訓練を行った後は、フィードバックや社内ルールの見直し・再徹底を行うことで効果が高くなります。

まとめ

いかがでしたか。今回は標的型攻撃メール訓練について紹介してきましたが、必要性を感じ、具体的な行動に移すことが重要です。日々の業務に潜む標的型攻撃メールという脅威。この脅威に上手く対処できる仕組みを社内に作ることが求められます。社員の意識を変え、正しい知識を身に付けるだけで標的型攻撃メール対策は行えます。標的型攻撃メール訓練を行い万が一に備えましょう。