標的型攻撃メール対応訓練実施キットの詳細

キットは業者レベルの標的型メール訓練を自前でできるようにするDIYツールセットです
「標的型攻撃メール対応訓練実施キット」とは、簡単に言えば、従業員を対象とした標的型メールの訓練を、業者に頼らずに、完全自前で実施することができるようにする、従業員教育用のドキュメントや訓練実施の手引書、また、訓練を実施するのに必要となるツール一式がセットになった、DIY(Do it yourself)ツールセットです。
このツールがあれば、業者に委託した場合と比べても全く遜色のない訓練を自由に実施できることから、これまで業者に高額な費用を払って訓練実施を委託していた企業がキットを活用して訓練実施費用を大幅に削減する、また、業者から提示された見積が高すぎて訓練実施に二の足を踏んでいた企業が訓練実施を検討する。といったことを可能にしています。
キットは、クラウドサービスのように、訓練実施のためのシステムを提供するのではなく、訓練を実施するためのツールを提供するものなので、業者が提供するシステムを使う場合のように、送信元アドレスや訓練メールの本文などが固定される、また、業者のシステム上に全社員のメールアドレスを登録しなければならないなど、業者側が提供するシステムを使うが故の制約を受けることがありません。
また、訓練実施のためのシステムとして、何百万円もするハードウェアやソフトウェアの購入を要求するというものではなく、手持ちのパソコンを使って訓練を実施できるようにする。というものなので、新たなハードウェアを購入したりする必要もありません。
このため、訓練を実施するための初期投資がわずかな費用で済むだけでなく、訓練実施対象者数に応じて費用が青天井に増えていくといったこともなく、その時々のトレンドに応じた、また、自社がやりたいと思う標的型メール訓練を、いつでも自由に実施できる。というのが最大の特徴になります。
実際、お客様からは、業者に訓練実施を委託していた時に比べて、コストを100分の1以下に抑えることができるようになった、また、これならオンプレミスで、完全に社内に閉じた訓練が実施できる。といった感想を幾つも頂いています。
2020年7月からはキットがさらにパワーアップ!
これまでのキットでは、訓練メールを送信するためのメールサーバーや、訓練メール本文中のURLリンクをクリックした際のアクセス先となるWebサーバについては、お客様側でご用意頂いたものをお使い頂くことが前提となっておりました。
このため、自社でメールサーバーやWebサーバーを用意することが難しいお客様にとっては、キットの導入に二の足を踏んでしまう理由となってしまい、やむなくキットの導入を見送ることにしたという企業様も少なくはありませんでした。
このような課題を解決するため、キットでは2020年7月より、訓練メールを送信するSMTPサーバの機能を提供する「訓練メール送信サービス」、ならびに、Webサーバの機能を提供する「URL転送サービス」の2つをリリースしました。
この2つのサービスがキットに加わったことで、自社の設備を使って自由に訓練を実施したいと考える企業様はもちろん、自社でサーバを用意するのはハードルが高いとお感じの企業様でも、自社内製での標的型メール訓練を実施することが可能に。
しかも、一般的なSaaS型の訓練実施サービスのように、自社の従業員情報(メールアドレスや氏名、所属部署名など)を、業者が提供するシステム上に登録しなければならないということもありませんので、セキュリティ的にも安心してお使い頂くことができます。
指定した日時に訓練メールを送信できる「訓練メール送信サービス」
訓練メールを送信する作業が面倒。そんな理由から、業者に高い費用を払って訓練実施を委託している企業様も多いのではないでしょうか?
キットが提供する「訓練メール送信サービス」は、キットに付属のツールで作成した訓練メールを、お客様に代わって指定した日時に送信する機能です。しかも、他社SaaS型の訓練実施サービスと異なり、訓練メールを送信する先となるメールアドレスや、従業員の氏名・所属部署といった個人情報をサーバに登録する必要が無いというのがポイント。
訓練メールの作成や、開封者情報の集計については、キットに付属のツールを用いて、お手元のWindowsパソコンを使って行うので、自由度の高い訓練を実施頂けます。
指定したURLへの転送や、ご自身で作成したPDFを表示できる「URL転送サービス」
キットを使えば、自前で用意したWebサーバを使って訓練が実施できるといっても、Webサーバの設定や、Webサーバに登録するHTMLファイルを作成するのが面倒、また、訓練用のドメイン名が用意できない。というお客様のいらっしゃることでしょう。
キットが提供する「URL転送サービス」は、キットが提供する8種類のドメイン名を訓練用のドメイン名として使える他、訓練メール本文に記載のURLリンクをクリックしたら、お客様が指定したURL(e-learningのWebサイトなど)に転送したり、お客様側で作成したPDFファイル(訓練であることを知らせるドキュメント)を表示するといったことができます。
さらに、開封者情報データの収集もURL転送サービスが行いますので、自社ではWebサーバを用意することが難しい、また、HTMLファイルを作成するのはハードルが高いといったお客様でも、URL転送サービスの機能を用いて、容易に訓練を実施頂くことができます。
標的型攻撃メール対応訓練実施キットが何故生まれたか?
今、標的型メールが流行っていて、世界中で身代金の要求や、情報漏洩の被害に遭う企業が多く発生している、そして、そうした被害に遭うことを防ぐための対策として、多くの企業で「標的型メール訓練」というものが行われている。と聞き、「ウチでも標的型メール訓練をやった方がよさそうだ」と考える会社が増えています。
また、出入り業者などからの売り込みによって、標的型メール訓練の実施を勧められるケースも少なくないようなのですが、いざ、訓練を実施しようと思い立ち、業者から見積を取ると、安くても数十万円、高い場合は数百万円、企業規模によっては一千万円以上もの見積もりを提示され、「こんなにかかるの?」と驚いてしまう方も少なくありません。
業者に訓練実施を委託すると何故、こんなにも費用がかかるのか?それは主に以下のような理由によるものです。
1.売り込みのための営業経費がかかるから。(営業マンの人件費、広告費、展示会への出展料など)
2.作業実施のための人件費がかかるから。
3.訓練実施の仕組みをサービスとして提供するためのシステム維持に費用がかかるから
また、業者によっては、ある業者が提供している訓練実施サービスを仕入れて、自社のサービスとして販売しているケースもあるので、マージンなどの費用が上乗せされて高くなっているというケースもあります。
一度きりしか利用しないようなものならともかく、標的型メール訓練のようなものは、繰り返して実施しない事には効果は限定的なものになってしまいます。例えて言えば、ダイエットのための運動を続けないと一時的には瘦せたとしても、すぐに元に戻ってしまうのと同じことです。
そのような状況の中、
訓練を実施する度に、数百万円もの費用がかかる。こんなことでは毎年繰り返して続けることなど到底できない。
このように考えた、ある大手企業の担当者が、だったら自前でやればいいじゃないか。と考えたことが、そもそもの始まりでした。確かに自前ならば、業者の営業経費や人件費、また、業者のマージンなどを支払う必要はないので、出費を大幅に抑えることができます。
しかし、当時ネットなどで公開されていた情報などを元に採用した方法はWebサーバのアクセスログを解析する方法で、自前で実施するにしても、従業員何千人分ものファイルを手作業で用意しないといけないなど、とても手間がかかる方法でした。
業者に毎回何百万円もの費用を支払うことに比べれば、この方法でも十分有用ではあるのですが、さすがに単純作業を長時間繰り返すのは骨が折れ、モチベーションも上がらないので、この作業をもっと効率よく行う方法はないだろうか?また、担当者の異動が発生しても支障が無いよう、俗人に頼ることなく、誰にでも簡単に訓練を実施することができないだろうか?ということで考え出されたのが、弊社がお手伝いして作り上げた「標的型攻撃メール対応訓練実施キット」の原型です。
そして、この原型がとても好評だったことから、同じようなことで困っている企業は他にもきっといるはずだ。ということで、この原型を元に、どの組織においても汎用的に使うことができるよう、訓練実施のための手引書など、訓練実施に必要となるものを、キットという形で一式としてまとめ、産み出されたのが、「標的型攻撃メール対応訓練実施キット」というわけです。
訓練は手持ちのWindows PC1台で実施可。それが例え2万人を対象とした訓練であっても。
初めてお会いする方にキットの説明をすると、「サーバーはどこに有る物を使われているんですか?」といった主旨のことを質問されることがあります。
標的型メール訓練サービスを利用された、また、標的型メール訓練について知っている方からすると、訓練メールの送信や、訓練メールを開封した方を集計するためには、仕組みとして「サーバー」が必要になるという認識があり、そのサーバーはどこのデータセンターに有る物を使っているのか?を確かめたいという意図で質問をされるのですが、標的型メール訓練を実施するのにサーバーは必須ではありません。
標的型メール訓練を実施するにあたって、『専用のメール送信システムが必要』だったり、『高性能なサーバーが必要』などということもありません。また、模擬の標的型メールを誰が開いてしまったか?について集計する仕組みについても、専用のシステムの構築が必要。などということもありません。
もし、「専用のシステムじゃないと訓練はうまくいきませんよ」と仰る業者さんが居たら、その業者さんは十分な知識やノウハウをお持ちでないか、専用のシステムを使うという名目で、高額での案件受注を狙っていると考えて頂いて良いのではと思います。
実際、2万人を超える従業員を抱える大企業において実施している標的型メール訓練でも、使っている機材は中古のWindows7 PC1台と、通常業務で使用しているメールサーバーだけです。訓練実施のために、わざわざ専用のシステムを構築する必要はありません。
もし、あなたが「標的型メール訓練は、専用のシステムがないと実施できないものなんでしょ?」もしくは、「標的型メール訓練は、専門の業者に委託しないと実施できないものなんでしょ?」と思われているなら、キットについて知っていただくことは、あなたの認識を大きく変えるきっかけとなるはずです。
最初から模範解答がわかっていたら試験なんて楽勝。それと同じ事を標的型メール訓練でも。
キットがあれば、自前での訓練実施ができるといっても、初めて訓練を実施するとなると、具体的に何をどうやればいいのかよくわからなかったりしますよね。だから、キットには、初めて訓練を実施する方でも迷うことがないよう、訓練実施の計画立案から、訓練実施後の作業までを網羅した、訓練実施の手引書が付属しています。
外注業者に委託したら納品物として提示されるような「訓練実施計画書」のサンプルも付属していますので、訓練実施のためのスケジュール表作成はもちろん、ToDoリストまで含めて、付属の資料をアレンジして作成することができます。
まるで模範解答を持って試験に臨むかのように、外注業者が作成するような計画書、手順書、報告書が最初からあなたの手元にあり、あなたはそれをアレンジして書き換えるだけでよい。となれば、悩まずに作業を進められると思いませんか?
キットがあれば、小規模な組織はもちろん、何千名もの社員がいるような大手企業での訓練実施であっても、外注業者に委託した場合と比べても全くひけをとらない訓練が実施できます。
キットをご活用頂いている組織は、訓練を受ける側としてご利用頂いている組織様も含め、既に1,000以上、伊藤忠商事株式会社様をはじめ、聞けば誰もが名前をご存じのような大手企業様にも、多くご活用を頂いています。
人気の高いURLリンククリック型の訓練も簡単に実施できます
昨今は、Webサイトの脆弱性を利用してマルウェアを仕込んだ正規のサイトに誘導させる手口が横行していることから、メール本文中にURLリンクを記述し、従業員がそのURLリンクをクリックしてしまうかどうかを確認する、URLリンククリック型の訓練が人気です。
添付ファイルをメールに付ける手間がないので、その分、手軽だったりするのですが、ネックとなるのが、誰がURLをクリックしたのか?を特定するために、従業員に送付するメールごとに、異なるURLリンクをメール本文中に挿入しないといけない。ということがあります。
従業員全員に訓練メールを送るだけでも面倒なのに、個別のメールごとに異なるURLを埋め込むなんて、一体どうやったらいいの?ということで、業者に外注するしかないと思われている方も少なくないと思います。
キットがあれば、こうしたメールを送るためのExcelツールが付属していますし、また、URLリンクをクリックしたことで表示される、従業員向けの教育用コンテンツも付属していますので、業者に外注せずとも、お手持ちのパソコンを使って、URLリンククリック型の訓練を実施することが可能です。
URLリンクを誰がクリックしたか?を集計する仕組みはもちろん、また、URLリンクをクリックした後に表示されるWebページのひな型もキットには付属しており、WebサーバソフトはWindowsに標準で付属しているIISや、PHPが動作するWebサーバを使えばよいので、手持ちのWindows7パソコンや、社内にある既存のWebサーバ、また、格安のレンタルサーバなどが使え、訓練実施に際してはほとんどコストをかけずに準備を済ませることができます。
さらに、10種類の添付ファイルも、ツールで簡単に作成できます
標的型攻撃メール対応訓練実施キットで実施できるのはURLリンククリック型の訓練だけではありません。キットに付属の「添付ファイル作成ツール」を用いることで、以下の10種類の添付ファイルを使った標的型メール訓練も実施することができます。
1.Word文書ファイル
2.PDF文書ファイル
3.Excelファイル
4.PowerPointファイル
5.JScriptファイル
6.VBScriptファイル
7.CSVファイル
8.iqyファイル
9.Dosバッチファイル
10.wizファイル(Wordのwiz形式ファイル)
一般的な標的型メール訓練実施代行サービスでは追加料金での対応となるようなタイプのファイルも、キットを使えば標準でご利用いただけます。
訓練メールの本文はテンプレートを参考に作成
模擬の標的型メールに添付するファイルを作成するのと併せて面倒なのが、模擬の標的型メールの本文をどうするか?ということ。このためだけに、外注業者に委託する事を考えている方もいらっしゃるかもしれません。
しかし、面倒なように思えるこの作業こそ、実は、訓練実施準備作業の中でも、最も面白く楽しい作業の一つ。攻撃者の気持ちになって、読み手をだまそうとする文章を考えることは、少々不謹慎ですが、ちょっとワクワクする作業でもあります。
また、攻撃者の気持ちになるということは、攻撃者の考えを推測するということでもあり、それはすなわち、攻撃者よりも先回りして防御の手が打てる。ということでもあります。自前で訓練を実施するという作業は、セキュリティ対策として何を強化すれば良いか?に気づくきっかけにもなります。
この大事な部分を専門の業者に任せてしまうことは、確かに楽で安心かもしれませんが、逆に、自分の手でやるからこそ気づく『きっかけ』を放棄してしまうということでもあります。自ら汗をかいて学ぶのと、全てを業者に任せて端から眺めるのとでは、どちらがあなたと会社の成長に繋がるかは言わずもがなでしょう。
そんな有益な作業を行うに際し、キットでは訓練メールの本文を作成するのに参考となるテンプレートとして、日本語と英語の文章サンプル100種類が付属しています。これらのサンプル文章を参考にしていただければ、訓練実施の方針決めや、実際の文書作成に役立てていただけるはずです。
従業員への訓練メール送付はツールを使って一括送付
訓練用の模擬の標的型メールを作成したら、次は従業員に対して、この訓練メールを送付する作業が待っています。しかし、これが1通づつ自分達の手で送らないといけない。なんていうことになったら大変面倒ですよね。
だから、キットには、従業員に対して個別にメールを送るためのExcelツールが付属しています。従業員別に添付するファイルを変えて送ることはもちろん、メール本文に埋め込むURLリンクを個別に差し替えて送るといったこともできるようになっていますので、URLリンク形式の訓練も実施することが可能です。
また、メールの送信間隔も、任意のランダムな秒数間隔で送信が行えるようになっていますので、メールサーバ側でスパムメールを送信していると判断されないようにすることも可能。従業員が何百人、何千人といようと、メール送付はツールに任せるだけなので、通常業務の傍らで訓練を実施することも十分可能です。
なお、これまでのキットでは、訓練メール送信用のメールサーバ(SMTPサーバ)はお客様側でご用意頂く必要がありましたが、SMTPサーバの機能を提供する「訓練メール送信サービス」の提供開始により、お客様側では、メール一括送付ツールで作成した訓練メールファイルを「訓練メール送信サービス」のサーバにアップロードするだけで、訓練メールを送信することができるようになりました。
要望の高かった「指定した日時での訓練メール送信」も行えるようになっていますので、深夜・早朝など、勤務時間外に訓練メールを送信するなどといったことも可能となっています。
誰が訓練メールに引っかかってしまったか?はツールを使ってリアルタイムに把握
訓練メールを送付したら、どの従業員が、実際に訓練メールに引っかかってしまったのか?はとても気になるものです。
業者が提供する「標的型メール訓練実施サービス」を利用した場合、このような結果は後日にレポートとして提示されるといった形になりますが、キットを使った訓練なら、訓練メールを送付したその場から、集計の実施が可能。
従業員が模擬のマルウェアを開いてしまったタイミングで、開封したことを知らせるメールが届きますから、後日のレポート提示など待たなくとも、その場でどの従業員が、実際に訓練メールに引っかかってしまったのか?を知ることができます。
標的型メール訓練では、誰が標的型メールに引っかかってしまったのか?を知ることが重要なのではなく、引っかかってしまった後、適切なアクションを行うことができるのかどうか?を検証することこそが重要なことです。
誰が引っかかったのか?をリアルタイムに把握することができなければ、誰が適切な対処を取れていて、誰が適切な対処を取れていないのか?がわかりません。また、後日に聞き取り調査を行ったのでは、当時の記憶も曖昧になり、大事な点を見落としてしまう可能性もあります。
その場で起きていることを、その場で観察・確認し、その場で課題の有無を考える。
こうしたことをできるようにするためにも、リアルタイムで訓練メールの開封状況を知ることができることは、必須の機能と言えます。
また、キットで提供されるツールはExcelで作られていますので、どの部署の誰が模擬のマルウェアを開いてしまったか?また、各部署で開封率に違いがあるのか?など、誰が開いてしまったか?の一覧を作成するだけでなく、組織別の開封率一覧も、その場で集計が可能です。それ故に、上司への結果報告もスムーズ。実際、この利便性はお客様から高い評価をいただいています。
Webサーバに設置するプログラムも付属しています
Word文書添付型や、URLリンククリック型、Windowsのショートカットファイル添付型の標的型メール訓練を実施するには、Webサーバが必要になります。
このページの冒頭で「サーバーは必要ではない」と謳っておきながら何ですが、Webサーバといっても、専用のサーバーマシンを用意する必要は全くなく、訓練実施対象者全員からアクセスが可能なネットワーク環境にあるパソコンがあれば、そのパソコンを使う形で十分、訓練は実施可能です。
Windows7やWindows10には、IISというWebサーバソフトが標準でインストールできるようになっていますので、新たにソフトウェアを購入したりする必要はありません。これをパソコンに設定すれば、それでWebサーバが用意できてしまうことになります。高性能なサーバーマシンなど必要はありません。
もちろん、既にWebサーバーをお持ちで、IIS以外のソフトウェアをお使いの場合でも、phpが動作するサーバーであれば、訓練実施が可能です。
そして、キットではWebサーバソフトに何を使えばよいのか?の情報と共に、Webサーバに設置するプログラム(PHP版とASP.NET版の2種類)と、ホームページの雛形ファイル(HTMLデータ)をご提供しています。これらは設定を変更して、Webサーバの所定のフォルダ配下に置くだけでよいようになっていますので、プログラミングの知識がない方でも、Webサーバと連動した訓練をすぐに実施することができます。
無料のキット評価版で、安心してキットにチャレンジいただけます
キットがいくら良さそうだ。と思っても、単に説明を読んだだけでは、本当に使えるものなのかどうか、また、本当に自分にも使えるものなのかどうか、あなたはまだ不安に思うかもしれません。
このような不安を払拭していただくため、キットについては無料のキット評価版をご提供していますので、十分にご納得いただいた上で購入するかどうかを検討頂けるようにしていますが、購入後の保証として、購入日の翌月1日から6か月間を安心保証の期間とし、この期間内に、弊社がサポートをさせて頂いたにもかかわらず、キットを使っての訓練を実施することができなかった場合は、ご購入代金の全額をご返金する対応をさせて頂きます。
キットを購入してから180日間といえば半年。さすがに半年間も訓練を全く実施しないということはないはず。
実際、キットの販売を開始して以来、ご返金に至った事例はこれまでに1件もありません。それは、訓練が実施できるよう、必要とあればとことんサポートをさせて頂く姿勢を貫いているからですが、万一、訓練が実施できなかった場合は全額返金される保証があれば、より安心してキットを活用しての訓練実施にチャレンジしていただけるものと思います。
キットを利用するのに必要な環境
キットを使ってURLリンククリック型の標的型メール訓練を実施するには、以下のものが必要になります。といっても、既にお持ちのものばかりだと思います。
訓練主催者側
-
- Windows OS(Windows7,Windows10など)が動作するパソコン
- 2010以上のMicrosoft Office、またはOffice365
- Adobe Acrobat DC(PDFの添付ファイルを作成する場合)
- Microsoft IISやBlackJumbo Dog、ApacheなどのWebサーバソフト(自社で用意したWebサーバを使用したい場合)
- 訓練メール送信用のSMTPサーバ(自社で用意したメールサーバを使用したい場合)
※Notesをお使いの場合は、NotesサーバのSMTPサービス機能をお使い下さい。
訓練対象者側
- Windows OS(Windows7,Windows10など)が動作するパソコン
- Microsoft Office、Adobe Acrobat Reader(添付ファイル型の訓練を実施する場合)
- 訓練メールが受信できる環境(メールソフト(種類は問いません)もしくは、Webメール)
※Macパソコン、Android端末(タブレット、スマートフォン)、iOS端末(i-Phone、iPad)、Linux OS等、
WindowsXP,7,8,8.1,10以外の端末では、URLリンククリック形式以外の訓練は実施いただけません。
これだけの物が揃って99,000円(税込)~、見積の依頼は以下フォームからお申込み頂けます
自分で標的型メールの訓練を実施するための便利なツール、手引書などが揃っている「標的型攻撃メール対応訓練実施キット(基本キット)」は、年間ライセンス制となり、販売価格は、ご購入時が99,000円(税込)~、以後、継続してお使い頂く場合は、1年毎に更新費用をお支払い頂く形となります。
専門業者が提供している標的型メール訓練サービスを毎年利用すれば、その度に数十万~数百万円の費用がかかってしまう事を考えれば、訓練実施サービスを利用し続けることに比べれば、十分コストメリットを享受できるものと思います。
キットに関するお問い合わせ、見積のご依頼は、以下のフォームにてメールアドレスをお知らせ頂くだけ。その他の情報は、その後のやり取りの中で、必要に応じてお知らせいただければ結構です。キットに関する各種の資料は、Web上に公開しておりますが、ご不明な点などがありましたら、どのようなことでも、お気軽にお尋ねください。
キットを安心してご購入頂けるよう、こんな配慮もしています。
キットの魅力や、非常に手頃な価格で入手できることについてはわかったけれど、本当にそうなのかどうかを知りたい、また、具体的な購入の流れについて知りたい、といった方のために、以下をご用意しています。
・わずか1時間で!URLリンククリック型の訓練を実施準備を完了する動画
・キットについて代表者から直接話を聞ける『キット説明・訓練実施相談会』
・キットを無料でお試し頂ける『評価版キット』のご提供
・キットのご購入に関するご説明ページ
・キットに関するFAQ(よくあるご質問とその回答)のページ
キットの内容にご納得頂き、安心してご購入頂き、そして、今後にも期待して頂きたいから。ご不明な点やご要望があれば、どのようなことでも、お気軽にお尋ねください。