サイバー攻撃に疎い社員に喝!実体験型 標的型メール訓練のススメ!

標的型メール訓練のススメ!
標的型メール訓練は従業員に気づきを与える効果的な方法です
セキュリティ意識の薄い従業員に喝!「不審なメールなんて、送られてきても無視すればいい」「イマドキ怪しいメールにひっかかるような馬鹿な社員なんてウチにはいない」「訓練なんてしなくたって、万一の時は幾らでも対処できる」「ウィルス対策ソフトを入れてあるから問題ない」

標的型メールの被害に遭っていない方は、往々にしてこのように考えがちです。

しかし、標的型メールの被害に遭っている組織の多くは、セキュリティ教育やウィルス対策、システム監視などの対策をしっかりやっている組織です。そんな組織が何故被害に遭ってしまうのか?

それは、組織の中に、セキュリティ意識の薄い方や油断している方、標的型メールについてわかった気になっているだけの方がいて、そのような方が人的なセキュリティホールとなっていたりするからですが、あなたは、自社の中にそのような人的なセキュリティホールなど無い。と言い切る自信があるでしょうか?

社内に人的なセキュリティホールがあるかどうかは、実際に被害に遭えばはっきりしますが、被害に遭ってからわかったのでは遅すぎます。

そこで、模擬の標的型メールで疑似的にシミュレーションを行い、常にベンチマークすることが重要となってくるわけです。そして、このような訓練の実施は、緩みがちな従業員のセキュリティ意識を改めて高めることにも繋がります。

標的型メール訓練は、従業員に対してはもちろん、また、セキュリティ対策を行う担当者の側にも、幾つもの気づきを与えてくれる効果的な方法なのです。

実際、「exeの添付ファイルを開く従業員なんていないと思いますよ」と言っていた企業の方が、実際に訓練を実施してみたところ、数名の従業員がいとも簡単にexeの添付ファイルを開いてしまって、これまでの認識を改めざるを得なくなった。という事例は幾つも目の当たりにしています。

業者に標的型メール訓練を委託すると費用がかかります
そんな標的型メール訓練を実施する方法として、セキュリティベンダーなどが提供している訓練実施サービスを利用するという方法があります。

全てをお願いできるので楽ですが、専門家や技術者が作業にあたる分、彼らの稼働費として請求される金額が高額であったり、専用のシステムを利用するための費用として請求される金額などがあるため、訓練を実施する都度、安くても数十万円からの費用がかかり、訓練対象となる従業員の数や、訓練実施の内容によっては、数百万円の費用を請求されることになる場合もあります。

予算に余裕があり、かかる費用など気にしない。という組織であれば何ら問題はないでしょうが、コスト削減を求められて、少しでも費用をかけないようにしたいという組織からすれば、訓練実施サービスを利用するという選択はなかなか厳しいというのが現実だと思います。

そういった理由から、訓練の実施など検討したところで上が認めるわけがない。と、ハナから諦めてしまっている組織の方も多いようです。

自分で標的型メール訓練をすれば実施費用は0円です
そこでオススメしたいのが、業者に任せる代わりに、ご自身で標的型メール訓練を実施する。という方法です。

タダって嬉しい業者に委託することなく、自社内製で標的型メール訓練を実施すれば、必要となるのは自社の社員の稼働コストだけ。これなら、出ていく費用は0円ですから、毎年繰り返して訓練を実施することも夢ではないですよね。

実際、自社で毎年訓練を企画し、実施している企業や組織は少なくないんです。費用がかからなくて、従業員のセキュリティ意識を高めるのに役立つのなら、やらないというのも勿体ない話ですよね。

自分で標的型メール訓練を実施できる方法があるんです
でも、自分で標的型メール訓練を実施するといっても、一体どうやればいいのだろうか?
実際にやったことがないと、誰もがそう思いますよね。標的型メールの訓練を実施するためのポイントは3つ。

  1. 本物の標的型メールに似せた、模擬の標的型メールを作る。
  2. 作った模擬の標的型メールを従業員に送付する。
  3. どの従業員が模擬の標的型メールにひっかかってしまったか?を確認する。

この3つが自社内製でできれば、わざわざ業者に委託しなくても、自社で標的型メールの訓練が実施できる。ということになります。これを実現するのが、「標的型攻撃メール対応訓練実施キット」なのです。

模擬の標的型メールはテンプレートとツールで5分で作成
標的型メール訓練実施する上で必要となるのが、実際に従業員に体験してもらうための模擬の標的型メールを作成するということ。

模擬とはいえ、標的型メールを作るなんて専門家でないとできないのでは?と思われるかもしれませんが、あくまで訓練用なので、見かけは本物の標的型メールのように見えても、中身は本物の標的型メールと同じものを作るわけではないので、実は意外に簡単なんです。

模擬マルウェアサンプル「標的型攻撃メール対応訓練実施キット」には、模擬の標的型メールを作るためのテンプレートとツールが付属しており、主要な部分は既に完成された雛形が付いているので、プログラミングの知識など全くない方でも、付属の手引書に従って作業を進めていけば、簡単に模擬の標的型メールを作ることができてしまいます。

例えば、左のイメージ図は、キットに付属のexe実行型ファイルの模擬マルウェアのサンプルですが、従業員が模擬のマルウェアを開くと、左の図のようなダイアログ画面が表示され、自分が標的型メールをうっかり開いてしまったこと、また、標的型メールの怖さや、標的型メールかどうかの見分け方など、うっかり開いてしまったその場で、標的型メールについて学んでもらうための教育用コンテンツが表示されるようになっています。

このようなものが、あなたにもカスタマイズが可能な形で付属しているので、プログラミングの知識がない方でも簡単に作ることができてしまうというわけです。

様々な標的型攻撃メールの手口更にキットでは、ファイル添付型やURLリンク型など、標的型メールの主要な手口4種類に対応。様々なバリエーションのメールを作成できる上に、慣れてしまえば、訓練対象となる従業員が数百人いたとしても、標的型メールを作成するのにかかる時間は5分とかかりません。

模擬とはいえ、犯罪者の気持ちになって標的型メールを作成する過程は、犯罪者の心理や手口を考えることに繋がり、それは逆に、自社における効果的な防御策を考える事にも繋がります。

作った標的型メールはツールを使って従業員に一括送付
メール一括送付ツール作成した模擬の標的型メールを、従業員一人一人に個別に送るなんて面倒ですよね。だから、キットでは、作成した標的型メールを従業員に送付するためのExcelツールも付属しています。

ツールでは従業員別に異なるリンク先をメール本文中に埋め込んだり、添付ファイルを差し替えてメールを送るといったことも可能なので、社員で手分けして、個々の従業員に訓練用のメールを送るなんていうことは必要ありません。

従業員が何百人いたとしても、ツールがどんどんメールを送付してくれるので、あなたは送付が完了するのを待つだけ。これなら、通常業務の傍ら、訓練を実施することも十分可能です。

誰が引っかかったか?はツールであっという間に集計完了
開封者情報集計ツール模擬の標的型メールを従業員に送付した後は、誰が標的型メールに引っかかってしまうか?の結果を待つだけです。

標的型メール訓練サービスなどでは、この結果を集計するのに専用の機材やシステムが必要になるので、一般の企業では実施が難しいと謳っているところもあるようですが、キットを使えば、専用の機材やシステムは必要ありません。

模擬の標的型メールには、うっかり開いてしまった人の情報がメールで通知される仕組みが組み込まれていますので、あなたはそのメールが届くのを待つだけ。

しかも、キットにはそのメールを集計するためのExcelツールが付属していますので、誰が模擬の標的型メールにひっかかってしまったか?の集計もあっという間に完了してしまいます。訓練を実施したその場で、訓練の実施結果がわかりますので、上司に実施結果を報告するのに何日もかかってしまうというようなことはありません。

これなら、前週に実施した訓練の講評を翌週の朝礼で発表することで、従業員の記憶が新しいうちに、標的型メールについての注意意識を高めてもらう。なんていうこともできますよね。

簡単にできる上に低コスト。プロのアドバイスも付いてます
自分で標的型メールの訓練を実施するための便利なツール、手引書などが揃っている「標的型攻撃メール対応訓練実施キット」の価格は54,000円(税別)。

標的型メール訓練サービスを利用する場合の費用が数十万円~数百万円かかることと比較したら、コストは10分の1以下。しかも、訓練サービスを利用する場合と違って、必要となるのはキットを購入する費用だけですから、訓練実施サービスを毎年利用し続けた場合とのコスト差は歴然としています。

10万円を切る価格なら、費用対効果を算出し、稟議書を作成して部長や役員を説得して決裁をもらうなどといった面倒な手続きを省ける企業も多いはず。

さらにキットの価格には、大手企業において、8,000名を超える従業員を対象とした標的型メール訓練の実施にも携わっているキット開発者による180日間のサポートも含まれていますから、わからないことがあれば気軽に質問して解決を図ることができます。

訓練実施前から訓練実施後まで、標的型メール訓練の実施経験者にいつでも質問ができるというのは、自社内製で訓練を実施する上で、心強い安心材料となるはずです。

自分たちでできることは自分たちでやって、かかる費用を節約し、わからないところは専門家に聞いて解決を図る。

「標的型攻撃メール対応訓練実施キット」はまさに、標的型メール訓練を実施したいと考える企業にとって、これ以上ないほどにコストを抑えながらも、やりたいことを実現することを可能にした商品なのです。

次のページでは、最新版のキットの特徴をご紹介します

次のページへ

また、資料をじっくり読んでみたい方には、ダウンロードしてお読みいただける以下の資料もご用意しています。