標的型攻撃やランサムウェアなど外部からの脅威も増えて、企業ではさまざまな機器やシステムの導入・改修によって情報セキュリティのレベルを高めることが必要ですが、それとともにセキュリティ人材の育成がすごく重要なことだと思います。当社でセキュリティ人材を増やすためのユニークな取り組み事例としてを紹介する第３弾「標的型攻撃メール訓練の実施」です。是非お読みください。

業務支援室の杉山です。
情報処理推進機構（IPA）が、2020年1月29日に個人および組織における2020年版の「情報セキュリティ10大脅威 2020」を発表しました。
組織の脅威の1位は近年連続で「標的型攻撃による機密情報の窃取」でした。

標的型攻撃の主流は「電子メール」等による攻撃で2018年には過去最多の6,740件もの被害が報告されました。（平成30年におけるサイバー空間をめぐる脅威の情勢等について）この攻撃の特徴として騙しのテクニックである「ソーシャル・エンジニアリング」が巧みに利用されます。
ソーシャルエンジニアリングとは、話術や盗み聞き・盗み見等を利用し、人間の心理・行動の隙を突くことで情報を不正に取得する手段の総称です。（参照：IPA定義）
「人」が原因により情報等が漏れてしまうということは、技術的な対策だけでは100%防ぐことは難しく、スタッフ一人ひとりがセキュリティに対して正しい対処法を心得、常に意識していくことが必要です。
そのスタッフ一人ひとりの意識レベルの向上を図り、正しい対処を周知するためにメール訓練を実施しました。

標的型攻撃メール訓練の実施方法

１．事前準備
メール文面の検討や対象メールアドレスの準備をします。

２．事前研修
以前にこのブログでも紹介しましたが、当社では社内講師による情報セキュリティに関する全社研修を毎年実施しており、
標的型攻撃メールに対する対処法を周知しているため、今回は訓練の事前告知は行わずに、振り返りとして事前研修を実施しました。

２．標的型攻撃メール訓練・実施
訓練メールのURL、添付ファイルを開いてしまうと訓練であることが分かる様になっていますが、
事前告知をしていませんので、訓練と思わない社員から、怪しいメールが来たと上司や同僚、担当窓口にも連絡するなど、
正しい対処した例が多く見られ、全社研修の効果を実感しました。

４．訓練種明かしメールの送信と事前研修の復習
種明かしと共に、標的型攻撃メールに対する社員の意識が高まったところで、事前研修の復習を案内しました。

これからも全社員参加型の組織的な取り組みにより、情報セキュリティ対策の維持・向上を続けて参ります。
当社では標的型攻撃メール訓練サービスを用意しておりますので、ご興味がありましたら、せひお気軽にご連絡ください。