本文へジャンプ

[06] 標的型メール訓練サービス

気になるポイントを覗いてみよう!

標的型攻撃メールとはなんですか?
特定の組織や個人を狙って、実在する同僚や取引先を騙ったメールを送り、マルウェアなどを仕込んだ添付ファイルを実行させることやURLのリンクをクリックさせ、攻撃者が用意した危険なサイトに誘導して機密情報を抜き取る手口です。例えば、取引先を騙って何度かメールでやり取りをした後に見積書として不正な添付ファイルを送ってきたり、入社希望者を装って人事担当者に連絡した後に履歴書に偽装したファイルを送るなど、何度かやり取りして相手を信用させた上で犯行に及ぶ巧妙なケースが増えています。最近ではURL誘導型が主流で、ウイルス対策ソフトやファイアウォールをすり抜けてしまうため、不審なメールに気づき、開かないようにすることが被害を防ぐ上で何より重要です。
納得ポイント
そんな巧妙な手段で攻撃されると、見破るのは難しいですね。ウイルス対策ソフトなどでは防げないとなると、従業員全員で不正メールの違和感に気づき、見抜く力をつけなくてはいけませんね。
[イメージ]標的型攻撃メールとはなんですか?
巧妙なメール攻撃に適切に対応するには、どうすればよいですか?
標的型メールは人の心の隙を狙う攻撃です。防御するには、一人ひとりが不正なメールに気づき、開かないようにすること、そして、もしも開いてしまったらどんな対応をすべきかを理解することが何よりも重要です。そのために有効なのは実践的な訓練です。標的型メール訓練で見る目を養い、初動対応を身につけましょう。
納得ポイント
何も分からない状態でメール攻撃されたら適切に行動できそうにありません。でも、訓練を受けておけば落ち着いて対応できそうです。いつ標的にされるか分からないので、組織全体で緊張感を持ち、意識を高めることが被害を防ぐためにも大切ですね。
どんな訓練をするのですか?
約3ヵ月の間に訓練メールを2回送信し、不正なURLやファイルを開いてしまった場合は教育用のコンテンツが表示されます。訓練を通して、不審なメールの違和感に気づき、開かないようにすることと、そのようなメールを見つけたり開いてしまった場合、どうしたらよいのかなどの基本行動を確認します。
納得ポイント
実際の攻撃に近い模擬メールで訓練ができるのですね。体験しておくと、イメージがわきます。教育用のコンテンツでは見分け方のポイントや注意点、対応方法を学べるので、いざという時にも落ち着いて対処できそうです。
業種や業務内容などに合わせて訓練の内容をカスタマイズできるのですか?
はい。当社の担当者がお客様にヒアリングをし、お客様の業務内容、社内メールのフォーマット、従業員の皆様のセキュリティ対応レベルなどを確認した上で、最近の攻撃手法を反映した最適な訓練メニューを作成します。
納得ポイント
攻撃者は、標的とする組織を綿密に分析して攻撃を仕掛けてくると聞いているので、企業ごとにカスタマイズされた現実味のあるメールで訓練できると意識が高まりますね。
[イメージ]業種や業務内容などに合わせて訓練の内容をカスタマイズできるのですか?
訓練のために、従業員の情報やメールアドレスなどをお渡しするのが少し心配なのですが。
従業員の方々の年齢、役職などのリストは訓練内容立案や分析のためにご用意いただきますが、当社では個人を特定できないように訓練用に付与するIDで管理し、IDと従業員名の照合はお客様にお任せしています。また、当社の訓練はオンサイトで行います。メールアドレスなどを入れた当社のパソコンをお客様の社内に設置させていただき、訓練が終わるまでは持ち帰りません。訓練終了後にお客様立ち合いの下でメールアドレスなどパソコン内のデータをすべて消去してから持ち帰ります。
納得ポイント
訓練の結果や傾向、注意点などをしっかり分析してもらうために、従業員情報の提出が必要なのですね。IDによる管理や社外へ持ち出さないことによって情報管理が徹底されていると分かり、安心しました。
東芝ITサービスの、オンサイトによる訓練のメリットはなんですか?
情報セキュリティ上の安全が保たれることが大きなメリットです。ネットワーク型の訓練では、クラウドやインターネット上にメールアドレスなどの情報を保管するケースが多いのですが、オンサイト型の訓練はお客様の社内に訓練用のパソコンを持ち込み、お客様のサーバの管理下で行うため、従業員情報の漏洩リスクなどを防ぎ、万全の安全対策の下で訓練ができます。
納得ポイント
標的型メール訓練を請け負う会社はたくさんあるけれど、情報漏洩などのリスクが心配でした。東芝ITサービスでは安全を最優先するためにオンサイトで訓練を実施しているのですね。
訓練は繰り返し行ったほうが良いのでしょうか。
訓練によって不正メールの違和感に気づく目が養われ、社員の皆さんの意識が高められます。しかし、時間が経つとどうしても油断してしまいがち。常に高いセキュリティ意識を維持し、また、最新の手口に対応できるようにするためにも繰り返しの訓練をお勧めします。
納得ポイント
いつ攻撃されるかわからないので、見る目を養い、緊張感を持ち続けることが必要ですね。攻撃パターンも変わってくるため、最新の情報を反映した訓練を繰り返し行うことは効果的だと思います。
[イメージ]訓練は繰り返し行ったほうが良いのでしょうか。
テレワークでもメール訓練は必要ですか?
はい。テレワークだと取引先や社員同士の連絡手段がメール中心になり、資料確認のために参照元URLを貼り付けたり、添付ファイルで送ることが多くなります。テレワークならではの落とし穴に気づくためにも、ぜひメール訓練を取り入れましょう。
  • ※ テレワーク時の訓練には、会社のネットワークにVPN接続されている必要があります。
納得ポイント
テレワークならではの危険も多いのですね。社員同士のコミュニケーションも少なくなりがちなので、同僚を装ったメールだと、つい油断して開いてしまうかもしれません。テレワークだからこそ、意識向上のためにも訓練が必要ですね。
訓練できる人数は何人ぐらいですか?
300人程度の規模から数万人規模まで対応できます。部署によってメール内容を変える等、オプション対応も可能です。人数や訓練内容のカスタマイズなど、お気軽に東芝ITサービスまでご相談ください。
納得ポイント
ますます巧妙化する手口に対抗するために、最新の知識やノウハウを蓄積している専門家のサポートは不可欠ですね。様々なセキュリティサービスを提供している東芝ITサービスは、何より心強いパートナーです。

こんな場合におすすめのサービスです!

活用例1

繰り返しの訓練で高いセキュリティ意識を維持!
URL型の標的メール攻撃が増えていると聞き、社内でも参照元URLを貼り付けたメールを多用していることから、メール訓練をすることにしました。SaaS型訓練は手軽ですが、セキュリティに不安があったため、オンサイト型訓練サービスを採用している東芝ITサービスに依頼しました。1回目の訓練では開封してしまってショックを受ける社員もいましたが、社内の意識が大きく変わり、不審なメールに気づいたり、「こんなメールが来たけれど、開いても大丈夫か」と、関連部門に問い合わせをしてくる社員が増えました。せっかくセキュリティ意識が高まっても、時間が経つとつい油断してしまうので、今後も繰り返し訓練をしていこうと思います。
[イメージ]活用例1

活用例2

組織に合わせた最適な訓練メニューで、
高まる中小企業への攻撃リスクに備える!
重工業メーカの下請けとして特殊な部品を製造している中小企業です。従業員数も少ないので、標的型メール攻撃の対象にはならないだろうと思っていました。しかし、同業者が被害に遭い、請け負っている部品の図面や特許などの機密情報が流出したことから、当社もメール訓練を行うことにしました。東芝ITサービスに相談したところ、専任担当者が当社の状況を細かくヒアリングして、最適な訓練メニューを作ってくれました。とても巧妙な訓練メールを見抜けず、初回はかなり開封率が高くて驚きましたが、eラーニング受講後、2回目の訓練では開封率を目標の10%以下に収めることができました。訓練後には傾向や特に気をつけたほうが良い点などを詳しく報告してくれたので、社員にしっかりフィードバックすることができました。
[イメージ]活用例2

まとめ

「最新の攻撃手口を熟知した東芝ITサービスの標的型メール
訓練で、より高いセキュリティ対策を」

[イメージ]最新の攻撃手口を熟知した東芝ITサービスの標的型メール訓練で、より高いセキュリティ対策を

標的型メール攻撃は、人の心の隙を狙う、いわば「人の脆弱性」を突いた手口です。企業の機密情報が狙われるため、その被害は甚大で、組織の存亡に関わる事態になりかねません。セキュリティ対策ソフトやファイアウォールをすり抜けてしまい、システム上では完全な防御ができないため、その手口を知り、社員一人ひとりの意識を高めることが重要です。最新のセキュリティリスクを知り尽くした東芝ITサービスの担当者が、お客様に最適な訓練メニューを立案し、組織のセキュリティ対策を強力にサポートします。東芝ITサービスの標的型メール訓練はオンサイト型を採用し、情報管理も万全。安心してご利用いただけます。また、お客様の組織におけるセキュリティリスクを可視化する「統合セキュリティ診断サービス」と併せて活用すると、より効果的。どうぞお気軽にご相談ください。

このページのトップへ