IMV株式会社様標的型攻撃メール訓練 T3 with セキュリティ教育事例

メルマガ登録する

メルマガ登録する

社員の危機意識を高める教育がセキュリティ対策の第一歩
巧妙化する標的型攻撃メールに対しては訓練が有効

IMVは振動を中心とした環境試験・計測・解析装置の製造・販売をしており、メーカーの枠を超え、受託試験サービスやソリューション業務なども国内外で展開している。例えば、電気自動車の電池パックやカーナビなどの車載部品は、自動車の中で揺れ続けている。環境試験では、製品がその寿命を全うする内に受けるストレスの合計を試験室内で再現し、品質が保たれるかどうかを確認する試験である。日本の工業製品は諸外国と比較して高い品質と信頼性を誇っているが、IMVの振動試験システムがその一端を担っているといえるだろう。

IMVの顧客は、製造業・大学・研究所など多岐にわたり、独BMW・JAXA・キリンホールディングス・TOTOをはじめ、多くの企業がIMVの振動試験装置を使用している。身近な例では、パナソニックがモバイルPC「Let's note」の環境試験にもIMVの振動試験装置が使われている。

セキュリティ面から見た環境試験事業の特徴は、顧客の機密データを取り扱っていること。「試験をしているということは、世間に発表する前の製品ということ。データの漏えいは許されない」と、IMVで情報システム部長を務める宮西靖氏は指摘する。振動試験の受託サービス事業では、ISMS（情報セキュリティマネジメントシステム）の規格であるISO27001の認証も取得している。

こうした背景からIMVは、社員のセキュリティ教育に力を入れてきた。今回、セキュリティ教育の一環として、ラックが提供する「標的型攻撃メール訓練 T3（ティースリー）」を導入した。疑似的な攻撃メールを社員に定期的に送信し、正しいメールと信じて開封する「開封率」を抑えることで、セキュリティ意識を醸成する実践型かつ体験型のサービスである。

社員のセキュリティ教育にスライド資料と理解度テストを自作

IMV 経営企画本部情報システム部長宮西靖氏 — IMV 経営企画本部情報システム部長
宮西靖氏

宮西氏がIMVの情報システム部に加わる以前、IMVは市販のセキュリティ教材を社員教育に使っていた。宮西氏は、4年前にIMVの情報システム部に加わり、社員向けのセキュリティ教材をスライドで自作した。加えて、Google Workspaceのフォーム機能を用い、理解度テストを実装した。社員は、資料を読み、選択式の理解度テストを受ける形だ。

「教材の作成には手間がかかった」と宮西氏は振り返る。独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」などのトレンドに合わせて、毎年内容をアップデートしている。感染が拡大しているマルウェア「Emotet」などのトレンドネタも含める。IMVには海外子会社もあるので、英語版の資料も用意する必要がある。

運用の苦労もあった。教育を受講してくれないケースでは、受講してもらえるように社員に頼んだり、それぞれの部門長に未受講者を伝えたりなど、地道に取り組んだ。こうした苦労のかいもあり、「教育を何年か継続してきたことで、怪しいメールを受け取ったら情報システム部門に報告する、という文化が醸成された」（宮西氏）。

巧妙な標的型メールに触れる機会が必要、メール訓練を導入

IMVがセキュリティ意識を向上させる活動に注力する一方で、Emotetで使われるような巧妙な標的型攻撃メールを見抜くことは難しい、という現実もある。「差出人を詐称したり、昔のような"怪しい"日本語ではなく流ちょうな日本語で書かれていたりするので、見抜けない」（宮西氏）。こうした中、社員が標的型攻撃メールに対して敏感になる機会を設けなければならない、と感じた。

IMVがセキュリティ事故を起こせば「IMVに振動試験を頼みたくない」ということになり、ビジネスに大きな影響が出てしまう。スライド資料と理解度テストに加えて、もう一手何かできないかを検討したところ、標的型対策メール訓練の導入というアイデアが浮上した。

IMVは、経営幹部向けにセキュリティの最新動向を知ってもらうセミナーをラックの協力で実施し、この時に訓練サービスの紹介を受けた。「類似サービスが多い中、サービスを開始して間もない最新のサービスだったこともあり、内容の質が高いと評価した」（宮西氏）。

テンプレートを流用し、本物に近い攻撃メールを再現

IMVはまず、大阪本社のスタッフ部門（人事、経理、総務など）に在籍する30人弱を対象に、標的型攻撃メールの訓練を実施した。現場に対しては、「何月の下旬」といったように、あらかじめ大まかな実施時期を伝えて実施した。訓練に使ったメールの文面は「メールの容量がいっぱいになっている」ことを伝えるもの。ラックが用意したテンプレートの1つをそのまま流用し、差出人の名前を記述するFROMヘッダの文言を「情報システム部」に変えた。

「テンプレートは64種類と豊富で、送信者のメールアドレスも複数から選べる。テンプレートごとの開封率の違いもデータ化している。ラックは、メール攻撃のトレンドをきっちり研究している」と宮西氏は評価する。「URLと添付ファイルの両方の試験が同時にできる点も良い」（宮西氏）。

訓練サービスでは、訓練結果のレポートも自動で生成してくれる。「業界ごとの開封率の平均値や自社の位置が視覚的に分かる。一目瞭然なので説得力がある」と宮西氏は高く評価する。「訓練の結果は芳しくなかった。結果を社長に見せたらショックを受けていた」（宮西氏）。

初動は合格。不審なメールの報告フローが社員に浸透していた

訓練メールに引っかかった社員が想像以上に多かった一方で、訓練メールに引っかからなかった社員の多くは、初動がしっかりしていた。「こんなメールが届いたが、どうすればいいのか。添付ファイルを開封しても大丈夫か」といった問い合わせを、同じフロアにいる情報システム部門に聞きに来た。

日常のセキュリティ教育において、「怪しいと感じたら情報システム部門に通知してほしい」と伝えてあった。このため、訓練メールを不審に感じた社員については、しっかりと行動ができていた。「これまで学んできた報告フローが社内に浸透していた」（宮西氏）。

実施後のアンケートでも、訓練に対して否定的な意見は無かった。決算期を避けて訓練を実施したが、現場からは「決算の真っただ中にやったほうがバタバタしていて引っかかりやすいから、むしろ良い訓練になったかもしれない」という意見まで出た。「社員は訓練に理解を示している。ありがたい」（宮西氏）。

事業部向けのメール訓練では訓練後のフォローアップ教育をセット化

第2弾の訓練メールは、ISO27001の認証を取得している事業部全体へと範囲を広げる。内部監査のために宮西氏が事業部を訪問した際に、「標的型攻撃メールの訓練をやる」ことを伝えたが、反対意見は出なかった。「全社的に訓練を受け入れる土壌ができている」（宮西氏）。

ラックがeラーニングとセット化した訓練メールサービスを提供する2022年7月に合わせ、第2弾のメール訓練を実施する。訓練後のフォローアップ教育によって学習効果を高めるのが狙い。「開封してしまった人への教育がシームレスにつながる点がメリット」と宮西氏は期待する。

スライド資料と理解度テストでも、4問中2問不正解だった人を抽出し、個別にフォローアップしていた。だが、テストの実施からフォローアップまでに時間がたってしまう難点があった。「テスト直後にフォローアップコンテンツを見せれば、熱が冷めないうちに習得できる」（宮西氏）。

セット化するeラーニングは、サービス開始時点で4つ。Emotetで使われるメール文面の具体的な内容や特徴が分かるなど、標的型攻撃メールのトレンドを押さえたとラックのDI統括部デジタルセキュリティサービス部の部長を務める吉田聡は説明する。メールの添付ファイルやURLを開いてしまった時にはどうすればよいかも分かる。

訓練メールサービスの今後について宮西氏は、「実際の現場で、どういったメールがよく開かれたかなど、実データをフィードバックしてほしい」と期待を寄せる。また、「自社に適したテンプレートを選びやすいように、トレンドや業種で絞り込めるとベストだ」としている。

ラックは、標的型攻撃メールを受け取る人を対象に、訓練メールとeラーニングをセットにした。今後のロードマップとして、ペネトレーション（侵入）テストを組み合わせるなど、システムを総合的に守るシナリオを提供していく。