標的型攻撃メール訓練-上級編-:開封率の維持と通報率100%を目指して
標的型攻撃メールに対する社内の耐性を強化するための訓練には、以下の3つのレベルがあります。
初級:初めてのメール訓練を実施する
中級:メール訓練の実施で不審なメールの開封率を低下させること、開封してしまった際の通報率を上昇させることを目指す
上級:メール訓練を定例化して、開封率の維持と通報率100%を目指す
本記事では、「上級」のメール訓練で実施すべきことについて、お伝えします。
上級レベルは一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会 メール訓練手法検討サブワーキンググループ作成のメール訓練手引書(以下、手引書)の「3rd STEP(目標達成後に、その状態を維持フェーズ)」を想定しています。
※初級と中級のメール訓練に関しては、それぞれ下記の2つの記事で紹介していますので、ご興味のある方は併せてご覧ください。
初めての訓練編:メール訓練のすすめかたをご紹介!
https://security-academy.jp/blog/security/post-637/
標的型攻撃メール訓練-中級編-:メールの開封率の低下を目指そう!
https://security-academy.jp/blog/security/post-679/
上級の標的型攻撃メール訓練の目的とゴール
上級の標的型攻撃メール訓練を実施する目的は、中級までの訓練で低下させた「開封率」を維持することと、「通報率」をさらに上昇させることです。
ここでいう開封率と通報率の定義は、以下のとおりです。
標的型攻撃メールの文面中のURLをクリックしたり、添付ファイルを開いたりしてしまった社員の割合
開封率=URLをクリック・添付ファイルを開いた人数÷送信件数×100
<通報率>
標的型攻撃メールの文面中のURLをクリックしたり、添付ファイルを開いたりしてしまった社員のうち、そのことを上長などに報告した人数の割合
通報率=URLクリック・添付ファイル開封を報告した人数÷URLをクリック・添付ファイルを開いた人数×100
上級のメール訓練では、「開封率を5%前後で維持すること」と「通報率を100%にすること」をゴールとして目指しましょう。
開封率を維持するために実施すべき3つのこと
開封率を維持するためには、以下の3つの項目を実施します。
1. メール訓練の難易度を上げる
2. メール訓練の定期開催
3. 標的型攻撃メールに関する最新情報の収集
ここでは、それぞれの項目について詳しく見ていきます。
1.メール訓練の難易度を上げる
開封率を維持するために実施すべきことの1つ目は、「メール訓練の難易度を上げる」です。
上級のメール訓練は、中級の訓練と同じく、以下の10ステップで実施します。
ステップ1.目的とゴールの再確認
ステップ2.実施日時の検討
ステップ3.実施方式の検討
ステップ4.訓練メールの作成
ステップ5.最終確認
ステップ6.訓練の実施
ステップ7.種明かしの案内
ステップ8.訓練結果の集計
ステップ9.アンケートの記入を依頼する
ステップ10.課題の明確化
それぞれのステップの詳細は、下記の記事でお伝えしていますので、併せてご覧ください。
標的型攻撃メール訓練-中級編-:メールの開封率の低下を目指そう!
https://security-academy.jp/blog/security/post-679/
上級の訓練では、このうち「ステップ3.実施方式の検討」において、難易度を上げる設定をします。
以下では、具体的に難易度を上げる方法を見ていきましょう。
a 文面の難易度
標的型攻撃メールを文面から見分ける際の難易度には、段階があります。
まず、最も見分けやすいレベルでは、メールの文中に多言語が混在していたり、日本語の「てにおは」の使い方が間違っていたりと、いかにも翻訳ソフトを使って作成されたかのような文章になっています。
初級・中級の難易度のメールでは、日本語の使い方は正しくしたうえで、文中にいくつかの「見分けポイント」を入れておき、そのポイントの数によって難易度を調整することが多いです。
この「見分けポイント」については、下記の記事でお伝えしていますので、併せてご覧ください。
開いて大丈夫?標的型攻撃メールの見分け方と対応方法を徹底解説!
https://security-academy.jp/blog/security/post-631/
上級の訓練では、見分けポイントを1〜2個に絞り、社内の者しか知らないような情報(具体的な部署名・業務名・個人名など)を入れましょう。
これは、社内情報が入っていると、標的型攻撃メールへの警戒が一気に緩んで、訓練としての難易度が格段に上がるためです。
実際に、標的型攻撃メールは、事前に盗み出した情報を駆使して送ってくるため、文中にその企業固有の用語が用いられることもあります。
メール訓練を通じて、企業固有の用語が使われていても、攻撃メールだと見分けられるようにしましょう。
b 差出人
上級のメール訓練では、送信するメールの差出人を「社内の実在する人物や部署」にすることをおすすめします。
これは、「知らない人からのメール」に比べて、「実在する社員や部署」からのメールは、文中のURLをクリックしたり、添付ファイルを開いたりしてしまう可能性が高まるからです。
前述のとおり、標的型攻撃メールでは、事前に盗み出した情報を文面に入れ込むこともあるため、差出人が「実在する社員や部署」の名前になっていることは、十分にありえます。
そこで、訓練を通じて、差出人の「名前・名称」だけではなく「アドレス」もチェックし、本人ではないことを見分けられるようにしましょう。
なお、訓練メールの「差出人」として名前を借りる社員や部署には、訓練メールを見た社員から直接問い合わせがくる可能性もあるため、あらかじめ断りを入れておいてください。
c メールの種類数
メール訓練では、「全員に同じ内容のメールを送るケース」と、「数種類のメールを用意してランダムに送るケース」の2つがあります。
このうち、上級の訓練では、「数種類のメールを用意してランダムに送る」ことをおすすめします。
同じ部署内でも社員によって送られてくるメールやタイミングが異なると、ほかの人には送られていないため、より実践的な訓練ができます。
d 事前案内の有無
初級・中級の訓練では、社員に事前告知をしていましたが、上級の訓練では「事前の案内なし」で訓練メールを送ってみましょう。
告知があるとその期間だけ特に不審なメールに注意するため、普段とはどうしても状況が異なります。
そこで、事前に案内を一切しないことで、本当に攻撃があった際の自社のセキュリティ耐性を正確に測ることができます。
2.メール訓練の定期開催
開封率を維持するために実施すべきことの2つ目は、「メール訓練の定期開催」です。
社員の意識を向上させるためには、訓練や教育を繰り返し実施することが重要です。繰り返し実施することで、不審なメールを開封・操作しない、万が一添付ファイルの開封やURLのクリックを行った場合にはすぐに通報するという基本的な行動が定着します。
自社のリソースによりますが、少なくとも1年間に2回以上、可能であれば毎月実施するとよいでしょう。
毎月全社員に実施すると準備や集計が大変なので、一月に2~3部署を対象に行い、1年間で全部署に対して訓練を実施する方法もあります。
3.標的型攻撃メールに関する最新情報の収集
開封率を維持するためには、「標的型攻撃メールに関する最新情報」を収集することも重要です。
標的型攻撃メールは、次々と新しい手口が開発されています。
そこで、開封率を高水準で維持するためには、最新情報を収集して、社員に共有することが欠かせません。
そうして情報収集をしたうえで、メール訓練にも最新の手口を盛り込んでみましょう。
なお、標的型攻撃メールに関する最新情報は、下記のサイトで収集できます。
● フィッシング詐欺対策協議会(事務局:一般社団法人 JPCERTコーディネーションセンター)
https://www.antiphishing.jp/
● サイバーポリスエージェンシー (提供:警察庁)
https://www.npa.go.jp/bureau/cyber/index.html
● 情報処理推進機構(IPA)
https://www.ipa.go.jp/index.html
標的型攻撃メール関連の情報収集に役立つサイトについては、下記の記事で詳しくお伝えしていますので、併せてご覧ください。
5人に1人が課題を感じる「標的型攻撃メール訓練の文章」作成のヒントをご紹介:参考サイト紹介編
https://security-academy.jp/blog/security/post-10/
メール訓練のノウハウと
効果的な進め方教えます
通報率を上昇させるために実施すべき2つのこと
上級訓練の目的は、「開封率の維持」と「通報率の上昇」の2つです。
このうち、後者の「通報率」を上げるためには、下記の2つに取り組むことをおすすめします。
1. 通報体制を強化する
2. 報告した社員を褒める企業文化を作る
それぞれについて、詳しく見ていきましょう。
1.通報体制を強化する
通報率を向上させるためには、標的型攻撃メールの文中のURLをクリックしたり、添付ファイルを開いたりしてしまった社員がとるべき行動を明確にしておくことが有効です。
そこでまずは、不審なメールを開いてしまったら、「誰に」通報すべきかのフローを作っておきましょう。
【フローの例】
・メールを開封してしまった社員→課長→セキュリティ担当
上記のようなフローを作成しておくことで、メール開封してしまった社員は速やかに上長へ報告できて、セキュリティ担当が危機を認知するまでの時間が短縮されます。
また、通報を受けたセキュリティ担当が、すぐに全社員へ「標的型攻撃メールがあった」ということを周知すれば、ほかの社員による開封率の低下にもつながります。
そのためあらかじめ通報する際のテンプレートを作成しておくと、通報がよりスムーズになるのでおすすめです。
下記の例を参考にして、テンプレートを作ってみてください。
【テンプレートの項目の例】
● メールを受信した日時
● 送信アドレス
● 差出人
● 件名
● 文面の簡単な内容
● 社員が取った行動(URLをクリックした、添付ファイルを開いた) など
なお、社内のセキュリティ耐性を強化するためには、不審なメールを発見した社員が周りに注意喚起することも非常に大事です。
「不審なメールを見つけたら、開封しなくても作成したフローにしたがって報告する」ことを、社内に呼びかけておきましょう。
2.報告した社員を褒める企業文化を作る
不審なメールの文中のURLをクリックしたり、添付ファイルを開いたりしてしまった社員に対して、一番やってはいけないのは「開封したことをミスとして責める」ことです。
なぜなら、責められた社員やそれを周りで見ていた社員は、今後同じようなことが起こっても、叱責を恐れ上司に報告しなくなってしまうからです。
報告がされなくなると、企業としての対応が遅れて、被害の拡大につながります。
そこで、「正直に通報した社員に感謝する」雰囲気を作ることが大事です。
「不注意で不審なメールを開いてしまっても責められないし、むしろ感謝される」という認識が社内に広がれば、通報率は飛躍的に向上します。
このような企業文化を作るため、報告を受ける部署はもちろん、全社で認識を共有しておくようにしましょう。
標的型攻撃メール訓練で通報率100%を達成しよう
標的型攻撃メールへの対応として、最も望ましいのは「不審なメールだとすぐに気付き、文中のURLをクリックしたり添付ファイルを開いたりせず、速やかに上司へ報告する」ことです。
ただし、標的型攻撃メールの手口が日々、巧妙になってきていることを考えると、開封率を0%にするのは、現実的ではありません。
そこで大事になるのが、「もし開封してしまっても、すぐに適切な対応をして、被害を最小限に抑える」ことです。
不審なメールの文中のURLをクリックしたり、添付ファイルを開いたりしてしまった場合には、まず下記の対応をとるようにしましょう。
1. パソコンからLANケーブルを抜く
2. 無線LANを「非接続」にする
3. 操作の履歴を記録する
4. 情報セキュリティ部門へ報告する
これらの対処をしたうえで、自分のミスを隠さずに、正直に上司へ報告することが大事です。
社内でこの意識を共有して、報告してくれたことに感謝する文化が形成できていれば、「通報率100%」は達成できます。
また、攻撃メールのURLをクリックしたり、添付ファイルを開封したりしなくても、怪しいメールの存在に気付いた時点で通報するよう周知しておくこともおすすめです。
不審なメールを受信した時点で、社内で情報共有ができれば、開封率の低下につながります。
以上でお伝えした内容を参考にしながらメール訓練を実施して、自社のセキュリティ耐性の強化に努めてみてください。
なお、メール訓練を実施するためのサービスには、さまざまな種類があります。
弊社では、メール訓練サービスを選ぶ際のポイントをまとめた資料を作りましたので、ご興味のある方は、下記からダウンロードしてご覧ください。
・メール訓練サービスの選び方
https://security-academy.jp/download/558/