こんにちは、エンジニアのあっきーです。
「サイバーセキュリティ特集 標的型メール攻撃訓練をしよう!」の記事でも書いた通り、2019年のアメリカでのサイバーセキュリティ攻撃の被害額No.1は、標的型メール攻撃であり、その被害を防ぐ為の対策として、技術面だけではなくセキュリティ教育や標的型メール攻撃訓練で社員の意識を高めるということも大切であることをお伝えしました。
IIJ Americaでは、昨今の標的型メール攻撃が巧妙化していること、又、社員を装ったビジネス詐欺メールが実際に社員に届いていること等を踏まえ、積極的に社員意識を向上すべくオンラインセキュリティ教育と標的型メール攻撃訓練を実施しました。
また、今回のオンラインセキュリティ教育と標的型メール攻撃訓練は、KnowBe4を利用しました。KnowBe4については、以下の記事で紹介していますので是非ご覧ください。
早速、IIJ America第1回標的型メール攻撃訓練結果を発表します!
開封率*:3.3%
*開封率は、訓練メール内のURLリンクをクリックした人の割合
今回、弊社がオンライン教育と標的型メール攻撃訓練どのように実施したか、実際にやってみてわかったことを紹介したいと思います。
オンラインセキュリティ教育
オンラインセキュリティ教育は、2020年9月24日~10月9日の間で全社員に以下の2つのコンテンツを提供し、全社員が受講を完了しました。
Phishing Fundamentals
フィッシングメールの見分け方などをインタラクティブに学ぶ約12分のコンテンツ
Working From Home in Times of COVID-19
WFHで仕事をするう上でのセキュリティの基本をビデオで学ぶ約2分のコンテンツ
今回のコンテンツ提供方法の特徴と想定は以下になります。
15分程度で完了する短い内容
一般的にオンライン教育は1時間程度のものが多いかとは思いますが、従業員の負担になるべくならないよう1回の受講時間をなるべく短くするように心掛けました。
継続的学習による定着
時間の長いコンテンツを年に1回よりも、継続的に学習機会を提供するほうが、社員の意識に定着するのではという想定をしています。今後も2か月に1回程度のペースで実施予定です。
標的型メール攻撃訓練
上記のオンライン教育完了後の10/13(火)に訓練を実施しました。
標的型メール攻撃訓練を実施する上で、以下の3つの重要なポイントがあります。
どんな訓練メールを使ったのか
初回の訓練ということもありそれほど難易度は難しくないけれども、つい押してしまい いそうなテンプレートを利用しました。
メールサブジェクト:Payment Overdue
送信者:jerv@oincus.com (弊社とは全く関係のないEメールアドレス)
内容:2日以内に支払わないと追加の支払いが発生するという内容で本文中に
Invoiceを確認を勧めるURLリンクがあるもの
何時ごろ、どのように訓練メール送信したのか
弊社は東海岸と西海岸にオフィスがありますので、現地時間午前10:10前後に届くように、社員に一斉送信しました。
訓練を事前に知っていたのは誰か
訓練に関する社員へのアナウンスメントは行わず、事前に知っていたのは、マネジメント2名と訓練提供者である私の3名で、社内のIT担当者にも事前に知らせることなく実施しました。
この結果、開封率は3.3%となりました。KnowBe4のデータによると初回の訓練における平均開封率は36.6%ですので、訓練メールの難易度にもよるとは思いますが、かなり低い開封率となりました。
発見と学び
今回の訓練は、お客様へ訓練をサービス提供している私にとっても大変興味深いものでした。というのは、サービスとして訓練を提供する場合、お客様の社内でどのようなことが起きているかは、なかなか見ることができないからです。
社内で実際にやってみたことで、以下のような発見と学びがありました。
報告フローと迅速な社員への注意喚起
今回、社内IT担当者にも知らせることなく訓練を実施したわけですが、訓練メール送信後、社員から社内IT担当者へ怪しいメールが届いたことが報告され、それを確認した社内IT担当者は、すぐに全社員に注意喚起を行いました。
この社内IT担当者の動きは、社員にメールを開封させないようにすることで被害を最小限に抑えるという観点から大変評価すべき点であり、報告フローが機能しいていることを確認できたことは良かった点です。
社員間の共有による防御
訓練メールを開封してしまった社員からヒアリングした結果わかったことですが、開封後に他の社員へ共有したということ、つまり訓練であることを一部の社員に知らせたということです。
訓練を提供する立場からすると一人ひとりが訓練メールを確認し、判断し、開封しないことを期待しますが、一方で、本当の標的型メールが来た際のことを考えると、開封してしまった社員が、他の社員へ知らせることは、他の社員が開くことを防ぎ、被害を拡大させないという観点から、組織全体として結果的に開封する人が少なかったことを考えると、決して訓練であることを他の社員に共有することは悪いことではないのではないかと感じました。
インシデント対応プロセスの徹底が必要
今回の訓練では社内IT担当者にも知らせない状態で実施しましたが、このような攻撃が実際に確認された際に、他にも対応を行う必要のある社員もおり、混乱を招くという指摘を訓練後に受けました。
これにより一つの課題が発見できたと考えています。
具体的には、弊社の場合、攻撃を受けた際にITシステムの設定変更等の対応を行う必要がある社員がいます。本来はインシデント発生時におけるシステムへの変更は、変更管理の観点からも担当者が個別に判断し、変更を行うべきではなく、きちんと定められた人によって決定がなされ、変更が承認されるのが一般的です。今回、最終的に誰に情報が集約され、どのような対策をとるのかを決定するプロセスフローが徹底できていないのではないかということに気づきました。
もしこのインシデント対応フローが社員に浸透してれば、誰が訓練を知っている、知っていないにかかわらず、定義されたプロセスフローによって、例えそれが訓練であったとしても情報が集約され判断がなされるわけです。
念のため付け加えさせていただきますが、訓練について事前に誰に知らせておくべきかは、会社規模、訓練の目的、業務影響などによってそれぞれの会社によって判断が異なると思いますので、慎重にご検討ください。
今回は、上記のような社内での訓練中の動きが全体的な開封率を下げたものと考えています。また、インシデント対応フローが徹底できていないことが確認できたことは、大きな成果でした。
このように、標的型メール攻撃訓練は、単にメールのURLリンクや添付資料の開封率を確認するだけではなく、やり方によっては社内のプロセスフローの確認と改善するためのヒントを発見することができます。
今後も社員の意識向上とセキュリティ対策への取り組みの一環としてオンラインセキュリティ教育と標的型メール攻撃訓練を定期的に実施します。その結果についても本ブログで報告させていただきたいと思います。
IIJ America Incでは、セキュリティに関するご相談、標的型メール攻撃訓練サービスやセキュリティ教育サービスを提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。