ラックの独自調査レポートからみた、標的型攻撃メール訓練の傾向と課題

先日、ラックでは「調査レポート2022情報セキュリティ教育：セキュリティ研修/標的型メール訓練への取り組み状況に関するアンケート回答結果」を公開しました。この調査資料は、情報セキュリティ教育における研修や、標的型攻撃メール訓練（以下、メール訓練）への取り組み状況について、企業規模別にまとめたものです。

今回は特に、「メール訓練」に焦点を当てて、このレポートから見えてきた訓練実施の傾向や、担当者が抱える課題について、ラックでメール訓練の企画を担当する小尾と、メール訓練の実施を担当する末次が解決策を探っていきます。

プロフィール

メール訓練はセキュリティ対策を自分事にする第一歩

小尾

まず調査結果の中で、メール訓練の実施頻度に関するものがあります。

小尾

全体でみると、61%の企業が毎年メール訓練を実施しているという結果でした。特に1,000名以上の企業に限っては、76%の企業が毎年実施しているという回答を得られました。やはり、「メール訓練を継続的に行う」という点は重要ですよね。

末次

そうですね。教育も含めて継続的に実施することで意識や知識の定着につながると考えています。

メールを用いた攻撃は標的型攻撃メールだけではなく、フィッシングメールやビジネスメール詐欺（BEC）等、多岐にわたります。メール訓練を行っていれば不審なメールを必ず開かないようになるわけではありません。中には明らかに不審メールであるものや、不審と判別しづらいものなど様々です。継続して実施いただくことで、少しでもメールに対して疑いを持ち、開封してしまった場合や違和感を持った場合の適切な対応を確認する上で有効と考えています。

小尾

一方で、99名以下の企業からは、約半数が「実績無し」という回答を得られています。この点は、少し気になるところですね。

末次

人員の確保等の要因によって、メール訓練や教育等の実施ができないことがあるのかもしれません。一方で、セキュリティ対策の強固な企業を直接攻撃せずに、セキュリティ対策が手薄な関連組織を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃するケースが存在します。IPAが公開している「情報セキュリティ10大脅威 2022」の組織向け脅威において、3位になっている「サプライチェーンの弱点を悪用した攻撃」にもある通りですね。企業規模に関わらず標的型攻撃の対象となる可能性が考えられるため、組織におけるセキュリティ対策は必要不可欠と考えます。

小尾

とはいえ、中小企業では大規模なシステム設備への投資・予算確保が難しいという声も聞きますので、まずは、「従業員への教育」から始めるという選択も検討していただきたいですね。特にメール訓練では、従業員自身が実際に疑似攻撃メールを受け取ることになるので、セキュリティ対策を「自分事化」するための第一歩としてはオススメだと考えています。

ポイント

• メール訓練は、継続することが重要。少しでも怪しいメールに疑問を持てるよう日頃から意識づけが大切。
• 中小企業が、サイバー攻撃の対象となるケースも増えている。
  大規模な対策予算の確保が難しい場合は、「従業員への情報セキュリティ教育」からスタートする選択肢も有効。

メール訓練を実施する際のポイント

小尾

次に、メール訓練を実施している企業が抱える「課題・悩み」に焦点を当ててみます。

小尾

企業規模に関わらず「メール訓練後の教育（フォロー）ができていない」というお悩みが上位の回答となっています。「教育（フォロー）」は、どのようなことを考えることが重要だと考えていますか？

末次

先ほどもお話しした通り「開封してしまった場合や違和感を持った場合の適切な対応」を学ぶことが重要です。「適切な対応をとれていない理由は何なのか」や「適切な方法を知っているにも関わらず行わなかった理由は何なのか」など、組織内のルールに基づいた教育フォローを実施し、啓発を行っていくことがおすすめです。

なお、ラックのメール訓練サービスを実施するお客様に対しては、開封者や非報告者への過度な叱責等は控えていただくようお願いしています。理由として「不審なメールを開いたことを報告すればまた怒られてしまう」という意識から、実際の攻撃メールを開いた際も叱責を恐れるあまり、報告を怠ったことで被害が拡大する可能性があるためです。メール訓練は従業員へ多少の緊張感を与えつつも、実際の対応を阻害するものであってはならないと考えています。

小尾

なるほど。学生時代の防災訓練を思い出しました。あれは「地震や火災が起きたときに、正しい対応ができるようになる」が目的だったと思うので、攻撃メール訓練では「いざ本物の攻撃メールを受信したときに、適切な対応がとれること」が目的になりますね。

また、1,000名以下の企業では、「訓練を複数回実施したいが、予算の捻出が難しい」というお悩みの回答も多く見られましたが、年間複数回の実施が難しいからこそ、その1,2回の訓練で、しっかりと従業員に正しいルールを伝えていく必要がありますよね。

末次

その通りだと思います。とはいえ、お客様からは「教育するためのコンテンツ準備が大変。準備に時間もかかる」といった声も聞きますので、ラックからは「標的型攻撃メール訓練 T3 with セキュリティ教育」をリリースしています。このサービスでは、弊社ラックセキュリティアカデミー監修のeラーニング動画がセットになっていますので、担当者の負担を軽減できるかと思います。

ポイント

• メール訓練は、「いざ本物の攻撃メールを受信したときに、適切な対応ができる」ことが目的。
  具体的には、「1.攻撃メールを見分ける、開封しない」「2.攻撃メール発見・開封時、社内ルールに則り報告をする」ことができるようになる。
• メール訓練の前後に、教育フォローを実施すると効果的。
• 開封者や非報告者への過度な叱責等は、報告の怠りや被害拡大に繋がる恐れがあるため控える。

小尾

最後になりますが、ラックではメール訓練サービスだけでなく、ラックセキュリティアカデミーという研修サービスも提供しています。多くの組織の情報セキュリティ教育に関するサポート経験がありますので、お困りの際はお気軽にお問い合わせください。末次さん、ありがとうございました。

末次

ありがとうございました。