SlideShare a Scribd company logo

White pap今やるべき標的型メール対策 --セキュリティ担当者は組織を危険にさらす5つの誤解を排除せよ!

Y
Yasunori Nonoichi

企業や官公庁を狙った標的型メール攻撃は増加の一途を辿り、インターネットに接続している企業や官公庁は、標的型攻撃の脅威に対する対策が必須となっている状況です。このような背景のもと、組織において対策を進めていく上で、組織内にありがちな5つの誤解を紹介し、セキュリティ担当者であれば今すぐやるべき対策について言及します。

Internet
1 of 18
Download to read offline
今すぐやるべき標的型メール対策! セキュリティ担当者は組織を危険にさらす5つの誤解を排除せよ! 標的型攻撃メール対応訓練実施キット ホワイトペーパー
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 1 - 縁マーケティング研究所を応援 この度は、本書をダウンロードいただき、ありがとうございます。本書は、ベンダーによる訓練サービ スを利用することなく、模擬のマルウェアの作成も含めて、自社で「標的型攻撃メール」に対応するた めの訓練を実施することを可能にした「標的型攻撃メール対応訓練実施キット」の概要をお伝えするも のですが、訓練実施に関して様々な企業様の話を見聞する中で、訓練を実施していないという企業様に は、主に5つの誤解があるようだ。ということがわかってきました。このホワイトペーパーでは、その 5つの誤解についてひも解くと共に、標的型攻撃メールに対処するために訓練の実施が何故必要である のか、また、訓練実施はコストや手間がかかるものではなく、自社において内製で実施できるものであ るということをお伝えしています。 これまで訓練を実施したことがないという企業様であれば、本書をお読みいただくことで、訓練実施が 何故必要なのか?をご理解いただけることと思います。また、既に訓練を実施されている企業様におか れても、作業の内製化によるメリットを知っていただくことで、ご自身の手で訓練を実施してみたいと 思っていただけるはずです。 本書をお読みいただくことで、標的型攻撃の脅威から組織を守ることに、幾ばくかでもお役に立つこと ができたら、大変嬉しく思います。 「標的型攻撃メール対応訓練実施キット」開発・販売元 縁マーケティング研究所 代表 野々市 恭徳
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 2 - 縁マーケティング研究所を応援 さて、冒頭から「訓練の実施は必要なのか?」と申し上げるのも何なのですが、標的型攻撃に対 する対策が「必要である」ということに反対する人は少ないのですが、標的型攻撃に備えるため の訓練を実施するという話になると、現実には以下のような意見が出てきます。 ・いまどき、怪しいメールを開く人なんているわけがないから、訓練なんてやるだけムダ。 ・わざわざ訓練なんてやらなくたって、危ないメールくらい、みんな十分わかっている。 ・ただでさえ忙しいのに、訓練なんてわずらわしいことはやりたくない。 ・訓練なんてから興味ないから、訓練メールなんて送っても誰も見ない。だからムダ。 ・実際に攻撃される確率なんて相当に低いだろうと思われるのに、訓練をやるなんてムダ。 ・実際に被害にあったとしてもたかが知れている。だから訓練なんてしなくたっていい。 ・訓練しても被害はゼロにできない。やってもやらなくても同じなら、やる意味がない。 ・社員を騙すようなメールを送る訓練は、社員を信用していないと言っているようなものだ。 いずれも、確かにそうかもしれないと思えるものばかりですが、訓練なんてやはり必要ないので しょうか?もし、あなたが、上記のような意見が社内にあることを知っていて、そして、あなた 自身も半ばそうかもしれないと思い、訓練の実施が本当に必要かどうか、迷う気持ちがあるのな ら、このまま、この先を読み進めてください。 その答えはもちろん、「訓練は実施すべき」なのですが、あなた自身の中に、訓練を実施すべ きと考える確固たる自信がなければ、社内を説得するのに躊躇してしまうかもしれません。組織 を標的型攻撃の脅威から守るために、まずは、社内にありがちな誤解を解いていくことから始め ることとしましょう。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 3 - 縁マーケティング研究所を応援 標的型攻撃メールに対応するための訓練実施を「必要ない」と考える方が社内にいるとしたら、 あなたの会社には、次の5つのような誤解が蔓延っている可能性があります。 1.怪しいメールを開くわけがないという誤解 2.自社が狙われるわけがないという誤解 3.訓練は教育のために行うものだという誤解 4.盗まれるものがないから被害に遭わないという誤解 5.被害が発生しないようにするのがセキュリティ対策だという誤解 では、この5つの誤解について、一つずつひも解いていくこととしましょう。 1.怪しいメールを開くわけがないという誤解 本文が機械翻訳で書かれたような、文章になっていない内容のメールが送られて来れば、明らか に怪しいメールであるとわかりますが、きちんとした文章になっていたら、何を以って「怪しい」 と判断するのでしょうか? 「怪しいメールを開くわけがない」と考える人のほとんどは、自己の経験値から「怪しいメール」 をイメージしています。自分が経験して知っているものなら、確かに開くことはないでしょうが、 自分が経験したことのないもの、自分の想像を超えるような内容のものが送られてきたら、「怪 しいメール」だとは思わずに開いてしまうかもしれません。 「怪しいメール」の基準を誰も明確にすることができないのに、「怪しいメールを開くわけがな い」と考えるのは、単なる思い込みに過ぎない。ということです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 4 - 縁マーケティング研究所を応援 2.自社が狙われるわけがないという誤解 標的型攻撃の対象として自社が狙われるわけがない。と考える背景には、標的型攻撃の対象とな るのは、政府の重要機関や大手企業のように、「重要な情報を持っているに違いない」と思われ るところだという誤解があります。 重要な情報を持っているから狙われる。裏を返せば、重要な情報を持っていなければ狙われない。 というわけですが、攻撃者が狙うのは「重要な情報」だけでしょうか? これが本当かどうかは、攻撃者の「心理」や「目的」を考えればすぐにわかります。 映画に出てくるテロリストのような犯罪組織であれば、狙うのは確かに大手企業だけかもしれま せんが、攻撃者は犯罪組織ばかりとは限りません。自分の技量を試したい愉快犯や、会社に対し て腹いせをしたいと思っている人など、個人である場合もありえます。 また、目的も「盗み」ばかりとは限りません。会社に対する腹いせであれば、混乱させるだけで も十分ですし、また、別の目的を果たすための踏み台として利用したいだけといったケースもあ ります。 相手がマルウェアに感染した頃合を見計らい、マルウェアを駆除する業者を騙って連絡をすれば、 渡りに船とばかりに、駆除をお願いしてしまう会社もあるはずです。でも、それが犯罪者によっ て仕組まれた演出だったとしたら・・・。 攻撃を仕掛ける側にとって、それが自分にとってプラスになることであれば、目的や相手はなん でも良いわけで、政府の重要機関や大手企業が狙われるというのは、攻撃者の狙いがたまたまそ うだったというに過ぎません。 マスコミに取り上げられるのは、話題として世間の注目を集めやすいことから、政府や大手企業 などが主になります。誰も名前を知らない会社が標的型メールによる攻撃を受けたところで、マ スコミがニュースとして取り上げることはないでしょう。 マスコミが取り上げるのが政府や大手企業の話ばかりなので、標的型攻撃で狙われるのはそうい ったところと思ってしまいがちですが、実際はそうとは限らないということです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 5 - 縁マーケティング研究所を応援 3.訓練は教育のために行うものだという誤解 まず、ウィルスやマルウェアについて知っている人のほとんどは、自分がウィルスやマルウェア に引っかかってしまうかも。とは思っていません。 それゆえに、ウィルスやマルウェアによる被害に遭わないようにするには訓練が有効です。と言 われても、自分が被害に遭うようなことはないと思っているので、そんな大げさなことをする必 要があるのか?と思ってしまうわけです。 では、組織内の他の誰かがもし、ウィルスやマルウェアに感染してしまったら、それを知った従 業員は、そして、組織としてはどのように対処すればよいでしょうか? この問いに対して、明確な対処方法をすらすらと述べることができる人はほとんどいないはずで す。自分のパソコンをどうすればよいかは言えたとしても、組織としてどのような対処をすべき か?については、組織内できちんとルール化されていないとわからないからです。 このため、万一、セキュリティ事故が起きてしまった時には、適切な対処方法がわからず、また、 どうするかを迅速に決めることもできずに右往左往してしまい、対応が後手後手になってしまっ たり、二次被害、三次被害の発生に繋がってしまうことが往々にしてあります。 組織においては、ウィルスやマルウェアに感染したパソコンをどうにかするだけでは済みません。 他に被害が広がっていないのか?社内だけでなく、社外に影響を与えていたりしないのか?被害 の拡大を防ぐために、誰にどのような情報を流すべきなのか?いずれも迅速に行わなければなら ないことですが、社内でルール化がなされておらず、決めたルールがうまく機能するかどうかの 検証も行われていなければ、有事の際に適切な対処が行えるはずもありません。 ウィルスやマルウェアに感染しないよう、従業員に対する教育を行うことも大切ですが、組織と して本当に大切なのは、むしろ、「もし、感染してしまったらどうするか?」の方です。 これは、座学では決して駄目で、座学だけでスポーツが上手くなることはないのと同じです。実 際にやってみることが重要です。セキュリティに関する知識は既にあるから、訓練は必要ないと 考えるのは誤解でしかないのです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 6 - 縁マーケティング研究所を応援 4.盗まれるものがないから被害に遭わないという誤解 標的型攻撃の事例としてマスコミが取り上げるのは、システムを乗っ取り、重要な情報を盗み出 すといった、派手な手口のものが多いですが、これは、誰にでもわかりやすい事例であるからで す。 手口が派手でわかりやすく、誰もが名前を知っている有名な企業などが被害者であれば、注目を 集めやすいので、マスコミも記事として取り上げやすくなります。そうなると、誰もが目にする のはそういった事例ばかりになるので、「重要な情報を持ってさえいなければ、被害に遭うこと はない」といった思い込みに繋がっていきます。 地味な事例はマスコミに取り上げられることもないので、普段、目にする機会がないことから、 ニュースなどで目にしないことは「現実にあるわけがない」といった思い込みにも繋がっていき ます。 これが、「うちには盗まれて困るような重要な情報なんてないから、対策なんて必要ない」とい った誤解となっていくというわけです。 情報を盗むという行為は、攻撃の理由の一つに過ぎません。相手を困らせるだけなら、盗みを働 く必要などありません。会社としての信頼を下げることが目的なら、その会社を発信元として、 デタラメの情報を世間に流すだけでも十分だったりします。また、会社のパソコンを使えない状 態にした上で、救世主を装って登場し、まんまとお金を騙し取る手口もまた、情報を盗む必要な どないわけです。 今では標的型攻撃の手口も、インターネットなどから簡単に入手できます。簡単に入手できると いうことは、誰にでも標的型攻撃ができるということであり、誰にでもできるということは、様々 な理由・目的による攻撃が発生しうる。ということを意味しています。 「盗まれるものがないから被害に遭うわけがない」というのは、単なる思い込みでしかなく、誰 もが標的型攻撃を行うことができる今の状況下においては、あなたの組織がいつ、被害に遭った としても、何らおかしくはないのです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 7 - 縁マーケティング研究所を応援 5.被害が発生しないようにするのがセキュリティ対策だという誤解 セキュリティ対策というと、被害を防ぐことにばかり目が行きがちです。セキュリティ事故が起 きてしまってからでは、システムでどうにかするということはできないので、ベンダーが製品や サービスとして出すのは、事故を防ぐことを目的としたものが中心になります。 世間で目にするのは、被害が発生しないようにすることを目的とした製品やサービスばかりにな るので、セキュリティ対策というと、いきおい、「被害が発生しないようにすること」と思って しまいがちになり、被害の発生を防げないものは対策として意味がないと考えてしまいがちです が、そもそも、「被害が発生するのを100%防ぐ方法」を探しているとしたら、それは間違い です。 どのような製品やサービスを導入し、組み合わせようとも、被害を100%防ぐことはできませ ん。ネットワーク上を流れるデータがとのような意味を持つのかは、そのデータを使う人間次第 だからです。 被害を100%防ぐことができないのなら、万一、セキュリティ事故が起きてしまったらどうす るか?を考えることも当然、必要になってきます。今、私たちがすべきセキュリティ対策とは、 被害が発生することを防ぐこともそうですが、もし、被害が発生したらどうするか?についても、 きちんと対策を立てておく。ということなのです。 万一、セキュリティ事故が発生した時、慌てることなく、スムーズに対応する仕組みがあり、社 内にそれが浸透しているでしょうか?また、新入社員が入ってきた時、その新入社員に説明し、 すぐに覚えてもらえるだけの体制や資料作りができているでしょうか? 被害を防ぐための仕組みを導入するということは、どの会社や組織でも行っていますが、事故が 起きたときにどうするか?までは対策として取り組んでいないところが非常に多いのが現実で す。 「被害の発生を防ぐこと」は、セキュリティ対策全体の中では、抑えるべきポイントの一つでし かないのです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 8 - 縁マーケティング研究所を応援 本書をここまで読み進めていただいたあなたは、以下のことに気づかれたはずです。 「訓練実施には、セキュリティ教育以外の目的もあったのか」と。 ウィルスやマルウェアについてよくわかっていない人に訓練を行うことで、セキュリティ教育と して一定の効果を得られることはよく知られていることですが、訓練実施の本当の意義は、セキ ュリティ教育よりもむしろ、万一、事故が起きてしまった時に、慌てることなく、適切な対処が できるようにすることにあります。災害発生時に備えての避難訓練と同じです。 火災や地震が起きた時の避難訓練実施について、「火災や地震が起きた時のリスクを教育するた めに行うもの」と考える人はほとんどいないはずです。 「火災や地震が起きたらどんなことになるか、訓練によって知ってもらおう。」と言ったら、「そ んなこと誰でも知ってるよ」と言われるのがオチでしょう。標的型攻撃メールの訓練実施もこれ と同じだと言えます。ウィルスやマルウェアなんて誰でも知っている。だから、「教育のための 訓練なんて必要ない。」と。 訓練実施を「セキュリティ教育のため」と位置付ければ、わかっている人からすれば、「そんな もの意味はない」となります。しかし、位置づけを変えて、「万一、事故が発生した時にスムー ズに対応できるかどうか検証するため」であったり、CSR 活動の一環として、「会社としてセキ ュリティ対策に積極的に取り組んでいる姿勢を示すため」といった目的に変われば、「やる意味 がない」とは決して言えなくなってくるはずです。 訓練実施について懐疑的な見方をする人の多くは、訓練実施を「セキュリティ教育のため」と考 えている傾向があります。上司や役員がそのように考えているとしたら、まずは、その誤解を解 くことから始めましょう。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 9 - 縁マーケティング研究所を応援 ここまで読まれて、訓練の実施が無駄ではないことはご理解いただけているのではないかと思い ます。しかし、標的型攻撃メールに対応するための訓練を実施するといっても、技術に詳しくな い担当者様からすれば、具体的にどのようにやればいいのかわからない。という方もいらっしゃ るかもしれません。 しかし、やることは非常に単純です。訓練といっても、要は標的型攻撃メールが送られてきたら どうすればいいのか?をシミュレーションすればいいだけなのですから、以下のことをすればい いだけです。 1.標的型攻撃を模したメールを作る 2.作ったメールを送る 3.メールを受け取った従業員の反応・対応を検証する 4.実施結果をまとめて、今後に向けて取り組むべき課題を検討する とはいえ、いざやろうとすると、以下のことに躓きます。 1.標的型攻撃を模したメール(訓練メール)はどう作ればいいのか? 2.全従業員に訓練メールを送付するにはどうすればいいのか? 3.訓練メールを受け取った従業員の反応をどうやって把握すればいいのか? こうなってくると、「自分ではお手上げだ」と思ってしまうかもしれません。そこで、ベンダー などが提供している「訓練実施サービス」の利用を検討するしかなさそうだ。ということになっ てくるわけですが、「自分ではお手上げだ」と思ってしまった部分について、「自分でできる」 方法が提供されたらどうでしょうか?しかも、それが、ベンダーなどが提供するサービスよりも 断然にコストがかからないとしたら・・・。それが、本書でご紹介する 「標的型攻撃メール対応訓練実施キット」です。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 10 - 縁マーケティング研究所を応援 「標的型攻撃メール対応訓練実施キット」は、技術に詳しくないセキュリティ担当者でも、容易 に訓練を実施することができるよう、訓練実施に必要となるもの一式を揃えたセルフキットです。 一式の中には、以下のものが含まれています。 1.模擬のマルウェアを作成するためのプログラムテンプレート 2.模擬の標的型攻撃メールの本文を考えるための文例テンプレート 3.標的型攻撃メールのリスクを従業員に伝えるための教育資料 4.誰が模擬のマルウェアに引っかかってしまったのかを集計するためのツール 5.訓練実施後の理解度を測定するためのアンケートの文例テンプレート 6.訓練を実施するための実施手引書(訓練実施担当者向けのマニュアル) システムにセキュリティ対策は欠かせないので、システム開発に詳しい方がセキュリティ担当者 となられるのは理想の形ですが、実際にはそのようになっていないケースは多々あります。シス テム開発なんてやったこともないし、ましてやプログラムなんてさっぱりわからないという方が 担当者となっているケースも珍しくありません。 「標的型攻撃メール対応訓練実施キット」は、そのような現状を踏まえて一式の構成を行ってい ますので、技術に詳しくない方でも、専門家に頼ることなく、ご自身で訓練を実施していただけ るようになっているのが特徴です。 ベンダーが提供する訓練サービスを利用すれば、面倒な作業は全てベンダー側でやってもらえる ので、担当者としては安心して訓練実施を進めることができますが、専門家に作業を委託する分、 どうしても費用がかかります。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 11 - 縁マーケティング研究所を応援 社内にノウハウがなく、どのようにして訓練を実施すればよいかわからない状況では訓練サービ スを利用するのも一つの選択ですが、訓練は 1 回やればそれで終わり。というものではありま せん。2 回、3 回と繰り返せば、社内に実施ノウハウも溜まってきますので、最初はノウハウを 求めてベンダーに委託していた作業も、繰り返すうちに、単純に作業をお願いするだけのような ものになってきます。単純な作業の代行となってくると気にかかってくるのがコストの問題。 最初は自分では無理だと思っていた作業も、自分でできるとなれば、毎回ベンダーに高い費用を 払って訓練を実施するのは無駄に思えてくるはずです。ましてや、潤沢ではない予算の一部を訓 練のために毎回拠出しなければならないというのも負担と感じるはずです。 「標的型攻撃メール対応訓練実施キット」は、セキュリティ担当者が自分の手で訓練を実施でき るようにすることをコンセプトとしているので、ベンダーが実施する訓練サービスのように、実 施する度に費用がかかることも、また、訓練対象者に比例してコストが増えることもありません。 何度訓練を実施しようと、また、何人を対象に訓練を実施しようとも、全ての作業を社内の内製 で行う以上、費用は一切かかりません。何度でも繰り返して実施することが必要な訓練だからこ そ、実施に費用が掛からないで済むことは、継続して続けていく上では非常に重要なことです。 訓練サービスを使う場合 キットを使う場合 1回目の訓練実施費用 25万円~数百万円 (ベンダーによって異なる) 5万4千円 (スタンダードキットの場合) 訓練対象者数 対象者数によって費用が上昇 無制限 訓練実施回数 1回のみ 無制限 開封者情報の集計 ベンダーで実施 ツールを用いて自分で実施 訓練実施結果のとりまとめ ベンダーで実施するため、結果が 入手できるまで時間が必要 自分で行うため、訓練を実施した その場で結果の入手が可能 2回目以降の費用 訓練実施回数×1回毎の実施費用 自分で行うので0円 訓練サービスを利用する場合と、キットを使う場合の違い
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 12 - 縁マーケティング研究所を応援 訓練実施に必要な作業をすべて社内の内製で済ませれば、出ていく費用はないので、「いつでも」 「自由に」「コスト 0 円」で訓練を実施できます。 実際にこれが実現できれば、これ以上に良い方法はないはずです。 でも、内製で訓練実施準備を行うのに、「面倒な手間」がかかったのでは、「やっぱりベンダーに お願いした方がいい」ということになってしまいます。この点はかかるコストと手間、そして、 得られるメリットのバランスで判断するしかありませんが、自分で作業をしたらあまりにも手間 がかかりすぎて、「もう、こんな作業やりたくない」と思ってしまうのなら、やはり、ベンダー にお願いした方がいい。ということになるでしょう。 しかし、「標的型攻撃メール対応訓練実施キット」は、「ベンダーで行っている作業を、単に自分 でできるようにしただけ」というものではありません。このキットは、ある企業が訓練実施のた めに毎年行っていた面倒な作業を、手間をかけずに簡便なものしたいというニーズから生まれま した。つまり、訓練実施にかかるコストを下げることを目的に生まれたものではなく、手間をか けずに訓練を実施できるようにすることを目的に生まれたもので、コストがかからないのは、手 間がかからない方法を実現した結果だということです。 例えば、模擬のマルウェアを開封してしまった人が誰か?を集計するということであれば、キッ トに付属のツールを使えば、簡単な操作だけで、ほぼリアルタイムに集計ができます。ベンダー に依頼した時のように、結果が出てくるまで何日も待つ必要は全くありません。このようなこと ができるのは、このキットならではのメリットです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 13 - 縁マーケティング研究所を応援 訓練の実施に関して全ての作業をベンダーにお願いすれば、失敗もなく、楽ですが、自分で作業 を行えば、次のようなメリットが得られます。 1.標的型攻撃の仕組みや、攻撃者の心理がわかる。 2.自社のシステムがどのような攻撃に弱いかを実感できる。 3.従業員の反応をダイレクトに知ることができる。 4.訓練実施に関するノウハウが社内に蓄積される 1.標的型攻撃の仕組みや、攻撃者の心理がわかる。 標的型攻撃にどのような方法が使われるかを知る最善の方法は、自分で標的型攻撃メールを作っ てみることです。実際に自分で作ってみれば、標的型攻撃の仕組みを理解することに繋がります。 そして同時に、攻撃者の側に立つことによって、どのような考えを持って攻撃を仕掛けてくるの かを理解することにも繋がります。 どのような攻撃を仕掛けてくるのか、また、どのような考えを持って攻撃を仕掛けてくるのかが わかれば、対策もより具体的なイメージを持って検討することができます。的確な対策を打つた めには、やはり相手を知ることが一番です。 2.自社のシステムがどのような攻撃に弱いかを実感できる。 標的型攻撃メールを自分で作ることができれば、様々なケースを自分で試してみることができま す。これをベンダーにお願いした場合、ケースごとの費用を請求されることになるので、おいそ れと依頼することはできないでしょう。しかし、自分でできれば、思う存分試すことができます。 これは、自分で作業ができることの大きなメリットです。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 14 - 縁マーケティング研究所を応援 自分自身が攻撃者と同じ知識を持つということは、自社のシステムを攻撃者から守ることができ るということでもあります。訓練実施に関する作業を自分でできれば、このようなメリットも得 られることになるのです。 3.従業員の反応をダイレクトに知ることができる。 ベンダーに訓練の実施をお願いした場合、模擬の訓練メールを送付した後の従業員の反応につい ては、開封者情報の集計を行うベンダーに確認するしかありませんが、自分で訓練を実施し、開 封者情報の集計を自分で行えば、誰が模擬のマルウェアを開封したのか?そしてそれはいつ開封 したのか?をダイレクトに知ることができます。 もちろん、ベンダーからの報告書によって後から知ることもできますが、訓練を実施している最 中の生々しい状況などを報告書に織り込むのは難しいので、そういった情報を報告書から読み取 るのは当然難しくなります。 自分で訓練を実施することにより、訓練を実施している最中に従業員の反応をダイレクトに把握 することができれば、見えてくる課題もあるというものです。自分で作業を実施できるというこ とは、このようなメリットを得ることにも繋がるのです。 4.訓練実施に関するノウハウが社内に蓄積される 自社内で作業を内製すれば、当然、そのノウハウが社内に蓄積されます。何度も訓練を実施すれ ば、その分だけノウハウも溜まっていくことになります。ノウハウが溜まっていけば、作業を効 率化する方法も見えてくるので、作業はますますやりやすくなるという好循環が得られるように なります。また、訓練を実施する度に課題も明確に見えるので、次の訓練で取り組むべき課題も 社内で共有することができます。 自分で作業をすることは一見、手間なようにも思えますが、自分でやるからこそ得られるメリッ トもあります。もし、年に数回、ベンダーに委託して訓練を実施されているなら、そのうち1回 は自分の手で訓練を実施してみることをお勧めします。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 15 - 縁マーケティング研究所を応援 訓練実施の必要性、そして、あなたの手で訓練が実施できるということは、本書の中でお伝えし ました。本書を読まれたあなたが次にすべき事、それは以下の3つのいずれかです。 1.自社では訓練なんて必要ないと判断し、何もしない。 2.ベンダーに訓練実施を依頼する。 3.自分で訓練を実施してみる。 訓練などしなくても、リスクは十分回避できる自信がある、もしくは、被害に遭ったとしても、 リカバリーできる資源やリソースは潤沢にあるというのであれば、何もしないという選択はもち ろん有りだと思います。 しかし、その自信がないのに、あえて訓練を実施しないという選択は、保険を掛けずに車を運転 するようなものです。このような危険な行為は、セキュリティ担当者、そして経営者であればす べきではないでしょう。 そうなると、選択肢は2つ、自分でやるか、外注するかですが、外注すれば当然コストがかかり ます。しかし、自分でやればコストはかかりません。「標的型攻撃メール対応訓練実施キット」 を使ったとしても、かかるコストは 54,000 円(税別・スタンダードキットの場合)です。 コストを掛けないでできるのなら、それに越したことはありません。ベンダーに頼ることも一つ の選択ですが、いきなり頼る前に、まずは、自分できることを試してみるのも、一つの選択では ないでしょうか? 「標的型攻撃メール対応訓練実施キット」は、手間とコストをかけることなく、自分で訓練 を実施できるようにすることを目的としたものです。あなたが試す価値は十分にあります。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 16 - 縁マーケティング研究所を応援 外注不要、低価格で標的型攻撃メール対応訓練を実施できる 『標的型攻撃メール対応訓練実施キット』 ~専門知識を有する人材がいない組織でも手軽に訓練が実施可能に~ 「標的型攻撃メール対応訓練実施キット」開発の背景】 増え続ける「標的型攻撃メール」から身を守るためには、「標的型攻撃メール」 がどのようなものであるかを実際に体験する模擬訓練が効果的ですが、専門の知 識を持たない組織が訓練を実施するためには、専門の業者に依頼するしか方法が なく、数十万~数百万円という費用負担の大きさから、特に中小の事業所にとっ ては利用しづらい状況にあります。 このような背景から、訓練実施の手引書やツールなど、必要なもの一式をキッ トとしてパッケージ化することで、専門知識を持たない中小事業所でも、費用の かかる専門業者に依頼することなく、低価格且つ、手軽に訓練を実施することを 可能と致しました。 【「標的型攻撃メール対応訓練実施キット」の特長】 1. 専門知識が不要 訓練実施の具体的な手順を手引書にまとめていますので、専門知識を持たない担当者でも、手引書に 従って進めていくことで、訓練を実施することができるようになっています。 2. 専用のシステムが不要 訓練を実施するにあたって専用のシステムを用意する必要がありません。訓練用の模擬メールの送信 など、全ての作業は、Microsoft Excel が使えるパソコンが 1 台あればできるようになっています。 3. ライセンスが不要 訓練対象者数や、訓練実施回数に応じた費用体系ではないため、訓練対象者数が何人いようと、また、 何回訓練を実施しようと、キットの購入費用以外の費用は発生しません。 4. カスタマイズが可能 訓練用の模擬マルウェアプログラムや事前教育用のコンテンツなどは、全てカスタマイズ可能なテン プレートの形で提供されるため、訓練実施に際して、利用組織独自のコンテンツを含める事が可能です。 5. 集計ツールが付属 訓練対象者のうち、誰が訓練メールを誤って開いたかの結果を集計するためのツールが付属しており、 担当者自身の手で、リアルタイムに実施状況を把握することができます。 6. 訓練実施の準備が簡単 キットに含まれる訓練用の模擬マルウェアプログラムや事前教育用のコンテンツは、全てほぼ完成品とし て提供されるため、半日とかからずに訓練実施の準備をすることができます。
Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 17 - 縁マーケティング研究所を応援 【「標的型攻撃メール対応訓練実施キット」の概要】 名称 : 標的型攻撃メール対応訓練実施キット 販売料金 : スタンダードキット:54,000 円(税別) プレミアムキット:148,000 円(税別) キット内容 : 訓練実施手引書、訓練用模擬マルウェアプログラムテンプレート、 事前教育実施用コンテンツ、模擬マルウェア開封者数集計ツール 訓練用メールの本文テンプレート URL : http://標的型攻撃メール対応訓練実施キット.biz/ http://ux1.co/ (短縮 URL) 開発・販売 : 縁マーケティング研究所 本キットによる訓練実施の準備から実施までの流れは以下の通りとなります。 1. 訓練実施担当者のパソコンにて、標的型攻撃メールに添付する模擬のマルウェアプログラムを作成し ます。ここで作成する模擬のマルウェアは、ユーザーに無害なものであり、実際のマルウェアの代わ りに、教育用のコンテンツが表示されるようになっています。 2. 事前教育用のコンテンツを利用し、訓練対象者に事前のセキュリティ教育研修を実施。 3. 教育研修実施後、訓練用メール本文テンプレートを利用して訓練用の模擬メールを作成し、抜き打ち で訓練対象者に訓練用の模擬メールを送付。 4. ユーザーが誤って模擬マルウェアを開封すると、担当者にメールで通知が届くので、キットに同梱の ツールを用いて結果を集計。結果は Excel のデータなので、担当者様にて自由に加工することができ ます。また、誤って模擬マルウェアを開いてしまったユーザーには、その場で教育コンテンツを表示 するので、後で集合研修をやり直すなどの手間は不要となっています。 「標的型攻撃メール対応訓練実施キット」に関して詳しい資料が欲しい、 また、話を聞いてみたいといったご要望がありましたら、以下をクリックして いただくか、seckit@ux1.co 宛までお問い合わせ下さい。 訓練に関する相談のお申し込キットの詳細資料を取り寄せる

Recommended

情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイント
情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイント情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイント
情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイントEiji Sasahara, Ph.D., MBA 笹原英司
 
ケイコとマモルの標的型攻撃メール対応訓練実施キットQ&A
ケイコとマモルの標的型攻撃メール対応訓練実施キットQ&Aケイコとマモルの標的型攻撃メール対応訓練実施キットQ&A
ケイコとマモルの標的型攻撃メール対応訓練実施キットQ&AYasunori Nonoichi
 
標的型攻撃メール対応訓練実施キット試用版・ご利用の手引き
標的型攻撃メール対応訓練実施キット試用版・ご利用の手引き標的型攻撃メール対応訓練実施キット試用版・ご利用の手引き
標的型攻撃メール対応訓練実施キット試用版・ご利用の手引きYasunori Nonoichi
 
標的型攻撃メール対応訓練実施キットの概要
標的型攻撃メール対応訓練実施キットの概要標的型攻撃メール対応訓練実施キットの概要
標的型攻撃メール対応訓練実施キットの概要Yasunori Nonoichi
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 

Recommended

情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイント
情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイント情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイント
情報漏洩、マイナンバー、 ビッグデータ/IoTセキュリティ対応を見据えた これからのセキュリティ対策のポイントEiji Sasahara, Ph.D., MBA 笹原英司
 
ケイコとマモルの標的型攻撃メール対応訓練実施キットQ&A
ケイコとマモルの標的型攻撃メール対応訓練実施キットQ&Aケイコとマモルの標的型攻撃メール対応訓練実施キットQ&A
ケイコとマモルの標的型攻撃メール対応訓練実施キットQ&AYasunori Nonoichi
 
標的型攻撃メール対応訓練実施キット試用版・ご利用の手引き
標的型攻撃メール対応訓練実施キット試用版・ご利用の手引き標的型攻撃メール対応訓練実施キット試用版・ご利用の手引き
標的型攻撃メール対応訓練実施キット試用版・ご利用の手引きYasunori Nonoichi
 
標的型攻撃メール対応訓練実施キットの概要
標的型攻撃メール対応訓練実施キットの概要標的型攻撃メール対応訓練実施キットの概要
標的型攻撃メール対応訓練実施キットの概要Yasunori Nonoichi
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slidesAlireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesProject for Public Spaces & National Center for Biking and Walking
 

More Related Content

Featured

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 

Featured (20)

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 

White pap今やるべき標的型メール対策 --セキュリティ担当者は組織を危険にさらす5つの誤解を排除せよ!

  • 2. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 1 - 縁マーケティング研究所を応援 この度は、本書をダウンロードいただき、ありがとうございます。本書は、ベンダーによる訓練サービ スを利用することなく、模擬のマルウェアの作成も含めて、自社で「標的型攻撃メール」に対応するた めの訓練を実施することを可能にした「標的型攻撃メール対応訓練実施キット」の概要をお伝えするも のですが、訓練実施に関して様々な企業様の話を見聞する中で、訓練を実施していないという企業様に は、主に5つの誤解があるようだ。ということがわかってきました。このホワイトペーパーでは、その 5つの誤解についてひも解くと共に、標的型攻撃メールに対処するために訓練の実施が何故必要である のか、また、訓練実施はコストや手間がかかるものではなく、自社において内製で実施できるものであ るということをお伝えしています。 これまで訓練を実施したことがないという企業様であれば、本書をお読みいただくことで、訓練実施が 何故必要なのか?をご理解いただけることと思います。また、既に訓練を実施されている企業様におか れても、作業の内製化によるメリットを知っていただくことで、ご自身の手で訓練を実施してみたいと 思っていただけるはずです。 本書をお読みいただくことで、標的型攻撃の脅威から組織を守ることに、幾ばくかでもお役に立つこと ができたら、大変嬉しく思います。 「標的型攻撃メール対応訓練実施キット」開発・販売元 縁マーケティング研究所 代表 野々市 恭徳
  • 3. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 2 - 縁マーケティング研究所を応援 さて、冒頭から「訓練の実施は必要なのか?」と申し上げるのも何なのですが、標的型攻撃に対 する対策が「必要である」ということに反対する人は少ないのですが、標的型攻撃に備えるため の訓練を実施するという話になると、現実には以下のような意見が出てきます。 ・いまどき、怪しいメールを開く人なんているわけがないから、訓練なんてやるだけムダ。 ・わざわざ訓練なんてやらなくたって、危ないメールくらい、みんな十分わかっている。 ・ただでさえ忙しいのに、訓練なんてわずらわしいことはやりたくない。 ・訓練なんてから興味ないから、訓練メールなんて送っても誰も見ない。だからムダ。 ・実際に攻撃される確率なんて相当に低いだろうと思われるのに、訓練をやるなんてムダ。 ・実際に被害にあったとしてもたかが知れている。だから訓練なんてしなくたっていい。 ・訓練しても被害はゼロにできない。やってもやらなくても同じなら、やる意味がない。 ・社員を騙すようなメールを送る訓練は、社員を信用していないと言っているようなものだ。 いずれも、確かにそうかもしれないと思えるものばかりですが、訓練なんてやはり必要ないので しょうか?もし、あなたが、上記のような意見が社内にあることを知っていて、そして、あなた 自身も半ばそうかもしれないと思い、訓練の実施が本当に必要かどうか、迷う気持ちがあるのな ら、このまま、この先を読み進めてください。 その答えはもちろん、「訓練は実施すべき」なのですが、あなた自身の中に、訓練を実施すべ きと考える確固たる自信がなければ、社内を説得するのに躊躇してしまうかもしれません。組織 を標的型攻撃の脅威から守るために、まずは、社内にありがちな誤解を解いていくことから始め ることとしましょう。
  • 4. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 3 - 縁マーケティング研究所を応援 標的型攻撃メールに対応するための訓練実施を「必要ない」と考える方が社内にいるとしたら、 あなたの会社には、次の5つのような誤解が蔓延っている可能性があります。 1.怪しいメールを開くわけがないという誤解 2.自社が狙われるわけがないという誤解 3.訓練は教育のために行うものだという誤解 4.盗まれるものがないから被害に遭わないという誤解 5.被害が発生しないようにするのがセキュリティ対策だという誤解 では、この5つの誤解について、一つずつひも解いていくこととしましょう。 1.怪しいメールを開くわけがないという誤解 本文が機械翻訳で書かれたような、文章になっていない内容のメールが送られて来れば、明らか に怪しいメールであるとわかりますが、きちんとした文章になっていたら、何を以って「怪しい」 と判断するのでしょうか? 「怪しいメールを開くわけがない」と考える人のほとんどは、自己の経験値から「怪しいメール」 をイメージしています。自分が経験して知っているものなら、確かに開くことはないでしょうが、 自分が経験したことのないもの、自分の想像を超えるような内容のものが送られてきたら、「怪 しいメール」だとは思わずに開いてしまうかもしれません。 「怪しいメール」の基準を誰も明確にすることができないのに、「怪しいメールを開くわけがな い」と考えるのは、単なる思い込みに過ぎない。ということです。
  • 5. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 4 - 縁マーケティング研究所を応援 2.自社が狙われるわけがないという誤解 標的型攻撃の対象として自社が狙われるわけがない。と考える背景には、標的型攻撃の対象とな るのは、政府の重要機関や大手企業のように、「重要な情報を持っているに違いない」と思われ るところだという誤解があります。 重要な情報を持っているから狙われる。裏を返せば、重要な情報を持っていなければ狙われない。 というわけですが、攻撃者が狙うのは「重要な情報」だけでしょうか? これが本当かどうかは、攻撃者の「心理」や「目的」を考えればすぐにわかります。 映画に出てくるテロリストのような犯罪組織であれば、狙うのは確かに大手企業だけかもしれま せんが、攻撃者は犯罪組織ばかりとは限りません。自分の技量を試したい愉快犯や、会社に対し て腹いせをしたいと思っている人など、個人である場合もありえます。 また、目的も「盗み」ばかりとは限りません。会社に対する腹いせであれば、混乱させるだけで も十分ですし、また、別の目的を果たすための踏み台として利用したいだけといったケースもあ ります。 相手がマルウェアに感染した頃合を見計らい、マルウェアを駆除する業者を騙って連絡をすれば、 渡りに船とばかりに、駆除をお願いしてしまう会社もあるはずです。でも、それが犯罪者によっ て仕組まれた演出だったとしたら・・・。 攻撃を仕掛ける側にとって、それが自分にとってプラスになることであれば、目的や相手はなん でも良いわけで、政府の重要機関や大手企業が狙われるというのは、攻撃者の狙いがたまたまそ うだったというに過ぎません。 マスコミに取り上げられるのは、話題として世間の注目を集めやすいことから、政府や大手企業 などが主になります。誰も名前を知らない会社が標的型メールによる攻撃を受けたところで、マ スコミがニュースとして取り上げることはないでしょう。 マスコミが取り上げるのが政府や大手企業の話ばかりなので、標的型攻撃で狙われるのはそうい ったところと思ってしまいがちですが、実際はそうとは限らないということです。
  • 6. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 5 - 縁マーケティング研究所を応援 3.訓練は教育のために行うものだという誤解 まず、ウィルスやマルウェアについて知っている人のほとんどは、自分がウィルスやマルウェア に引っかかってしまうかも。とは思っていません。 それゆえに、ウィルスやマルウェアによる被害に遭わないようにするには訓練が有効です。と言 われても、自分が被害に遭うようなことはないと思っているので、そんな大げさなことをする必 要があるのか?と思ってしまうわけです。 では、組織内の他の誰かがもし、ウィルスやマルウェアに感染してしまったら、それを知った従 業員は、そして、組織としてはどのように対処すればよいでしょうか? この問いに対して、明確な対処方法をすらすらと述べることができる人はほとんどいないはずで す。自分のパソコンをどうすればよいかは言えたとしても、組織としてどのような対処をすべき か?については、組織内できちんとルール化されていないとわからないからです。 このため、万一、セキュリティ事故が起きてしまった時には、適切な対処方法がわからず、また、 どうするかを迅速に決めることもできずに右往左往してしまい、対応が後手後手になってしまっ たり、二次被害、三次被害の発生に繋がってしまうことが往々にしてあります。 組織においては、ウィルスやマルウェアに感染したパソコンをどうにかするだけでは済みません。 他に被害が広がっていないのか?社内だけでなく、社外に影響を与えていたりしないのか?被害 の拡大を防ぐために、誰にどのような情報を流すべきなのか?いずれも迅速に行わなければなら ないことですが、社内でルール化がなされておらず、決めたルールがうまく機能するかどうかの 検証も行われていなければ、有事の際に適切な対処が行えるはずもありません。 ウィルスやマルウェアに感染しないよう、従業員に対する教育を行うことも大切ですが、組織と して本当に大切なのは、むしろ、「もし、感染してしまったらどうするか?」の方です。 これは、座学では決して駄目で、座学だけでスポーツが上手くなることはないのと同じです。実 際にやってみることが重要です。セキュリティに関する知識は既にあるから、訓練は必要ないと 考えるのは誤解でしかないのです。
  • 7. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 6 - 縁マーケティング研究所を応援 4.盗まれるものがないから被害に遭わないという誤解 標的型攻撃の事例としてマスコミが取り上げるのは、システムを乗っ取り、重要な情報を盗み出 すといった、派手な手口のものが多いですが、これは、誰にでもわかりやすい事例であるからで す。 手口が派手でわかりやすく、誰もが名前を知っている有名な企業などが被害者であれば、注目を 集めやすいので、マスコミも記事として取り上げやすくなります。そうなると、誰もが目にする のはそういった事例ばかりになるので、「重要な情報を持ってさえいなければ、被害に遭うこと はない」といった思い込みに繋がっていきます。 地味な事例はマスコミに取り上げられることもないので、普段、目にする機会がないことから、 ニュースなどで目にしないことは「現実にあるわけがない」といった思い込みにも繋がっていき ます。 これが、「うちには盗まれて困るような重要な情報なんてないから、対策なんて必要ない」とい った誤解となっていくというわけです。 情報を盗むという行為は、攻撃の理由の一つに過ぎません。相手を困らせるだけなら、盗みを働 く必要などありません。会社としての信頼を下げることが目的なら、その会社を発信元として、 デタラメの情報を世間に流すだけでも十分だったりします。また、会社のパソコンを使えない状 態にした上で、救世主を装って登場し、まんまとお金を騙し取る手口もまた、情報を盗む必要な どないわけです。 今では標的型攻撃の手口も、インターネットなどから簡単に入手できます。簡単に入手できると いうことは、誰にでも標的型攻撃ができるということであり、誰にでもできるということは、様々 な理由・目的による攻撃が発生しうる。ということを意味しています。 「盗まれるものがないから被害に遭うわけがない」というのは、単なる思い込みでしかなく、誰 もが標的型攻撃を行うことができる今の状況下においては、あなたの組織がいつ、被害に遭った としても、何らおかしくはないのです。
  • 8. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 7 - 縁マーケティング研究所を応援 5.被害が発生しないようにするのがセキュリティ対策だという誤解 セキュリティ対策というと、被害を防ぐことにばかり目が行きがちです。セキュリティ事故が起 きてしまってからでは、システムでどうにかするということはできないので、ベンダーが製品や サービスとして出すのは、事故を防ぐことを目的としたものが中心になります。 世間で目にするのは、被害が発生しないようにすることを目的とした製品やサービスばかりにな るので、セキュリティ対策というと、いきおい、「被害が発生しないようにすること」と思って しまいがちになり、被害の発生を防げないものは対策として意味がないと考えてしまいがちです が、そもそも、「被害が発生するのを100%防ぐ方法」を探しているとしたら、それは間違い です。 どのような製品やサービスを導入し、組み合わせようとも、被害を100%防ぐことはできませ ん。ネットワーク上を流れるデータがとのような意味を持つのかは、そのデータを使う人間次第 だからです。 被害を100%防ぐことができないのなら、万一、セキュリティ事故が起きてしまったらどうす るか?を考えることも当然、必要になってきます。今、私たちがすべきセキュリティ対策とは、 被害が発生することを防ぐこともそうですが、もし、被害が発生したらどうするか?についても、 きちんと対策を立てておく。ということなのです。 万一、セキュリティ事故が発生した時、慌てることなく、スムーズに対応する仕組みがあり、社 内にそれが浸透しているでしょうか?また、新入社員が入ってきた時、その新入社員に説明し、 すぐに覚えてもらえるだけの体制や資料作りができているでしょうか? 被害を防ぐための仕組みを導入するということは、どの会社や組織でも行っていますが、事故が 起きたときにどうするか?までは対策として取り組んでいないところが非常に多いのが現実で す。 「被害の発生を防ぐこと」は、セキュリティ対策全体の中では、抑えるべきポイントの一つでし かないのです。
  • 9. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 8 - 縁マーケティング研究所を応援 本書をここまで読み進めていただいたあなたは、以下のことに気づかれたはずです。 「訓練実施には、セキュリティ教育以外の目的もあったのか」と。 ウィルスやマルウェアについてよくわかっていない人に訓練を行うことで、セキュリティ教育と して一定の効果を得られることはよく知られていることですが、訓練実施の本当の意義は、セキ ュリティ教育よりもむしろ、万一、事故が起きてしまった時に、慌てることなく、適切な対処が できるようにすることにあります。災害発生時に備えての避難訓練と同じです。 火災や地震が起きた時の避難訓練実施について、「火災や地震が起きた時のリスクを教育するた めに行うもの」と考える人はほとんどいないはずです。 「火災や地震が起きたらどんなことになるか、訓練によって知ってもらおう。」と言ったら、「そ んなこと誰でも知ってるよ」と言われるのがオチでしょう。標的型攻撃メールの訓練実施もこれ と同じだと言えます。ウィルスやマルウェアなんて誰でも知っている。だから、「教育のための 訓練なんて必要ない。」と。 訓練実施を「セキュリティ教育のため」と位置付ければ、わかっている人からすれば、「そんな もの意味はない」となります。しかし、位置づけを変えて、「万一、事故が発生した時にスムー ズに対応できるかどうか検証するため」であったり、CSR 活動の一環として、「会社としてセキ ュリティ対策に積極的に取り組んでいる姿勢を示すため」といった目的に変われば、「やる意味 がない」とは決して言えなくなってくるはずです。 訓練実施について懐疑的な見方をする人の多くは、訓練実施を「セキュリティ教育のため」と考 えている傾向があります。上司や役員がそのように考えているとしたら、まずは、その誤解を解 くことから始めましょう。
  • 10. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 9 - 縁マーケティング研究所を応援 ここまで読まれて、訓練の実施が無駄ではないことはご理解いただけているのではないかと思い ます。しかし、標的型攻撃メールに対応するための訓練を実施するといっても、技術に詳しくな い担当者様からすれば、具体的にどのようにやればいいのかわからない。という方もいらっしゃ るかもしれません。 しかし、やることは非常に単純です。訓練といっても、要は標的型攻撃メールが送られてきたら どうすればいいのか?をシミュレーションすればいいだけなのですから、以下のことをすればい いだけです。 1.標的型攻撃を模したメールを作る 2.作ったメールを送る 3.メールを受け取った従業員の反応・対応を検証する 4.実施結果をまとめて、今後に向けて取り組むべき課題を検討する とはいえ、いざやろうとすると、以下のことに躓きます。 1.標的型攻撃を模したメール(訓練メール)はどう作ればいいのか? 2.全従業員に訓練メールを送付するにはどうすればいいのか? 3.訓練メールを受け取った従業員の反応をどうやって把握すればいいのか? こうなってくると、「自分ではお手上げだ」と思ってしまうかもしれません。そこで、ベンダー などが提供している「訓練実施サービス」の利用を検討するしかなさそうだ。ということになっ てくるわけですが、「自分ではお手上げだ」と思ってしまった部分について、「自分でできる」 方法が提供されたらどうでしょうか?しかも、それが、ベンダーなどが提供するサービスよりも 断然にコストがかからないとしたら・・・。それが、本書でご紹介する 「標的型攻撃メール対応訓練実施キット」です。
  • 11. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 10 - 縁マーケティング研究所を応援 「標的型攻撃メール対応訓練実施キット」は、技術に詳しくないセキュリティ担当者でも、容易 に訓練を実施することができるよう、訓練実施に必要となるもの一式を揃えたセルフキットです。 一式の中には、以下のものが含まれています。 1.模擬のマルウェアを作成するためのプログラムテンプレート 2.模擬の標的型攻撃メールの本文を考えるための文例テンプレート 3.標的型攻撃メールのリスクを従業員に伝えるための教育資料 4.誰が模擬のマルウェアに引っかかってしまったのかを集計するためのツール 5.訓練実施後の理解度を測定するためのアンケートの文例テンプレート 6.訓練を実施するための実施手引書(訓練実施担当者向けのマニュアル) システムにセキュリティ対策は欠かせないので、システム開発に詳しい方がセキュリティ担当者 となられるのは理想の形ですが、実際にはそのようになっていないケースは多々あります。シス テム開発なんてやったこともないし、ましてやプログラムなんてさっぱりわからないという方が 担当者となっているケースも珍しくありません。 「標的型攻撃メール対応訓練実施キット」は、そのような現状を踏まえて一式の構成を行ってい ますので、技術に詳しくない方でも、専門家に頼ることなく、ご自身で訓練を実施していただけ るようになっているのが特徴です。 ベンダーが提供する訓練サービスを利用すれば、面倒な作業は全てベンダー側でやってもらえる ので、担当者としては安心して訓練実施を進めることができますが、専門家に作業を委託する分、 どうしても費用がかかります。
  • 12. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 11 - 縁マーケティング研究所を応援 社内にノウハウがなく、どのようにして訓練を実施すればよいかわからない状況では訓練サービ スを利用するのも一つの選択ですが、訓練は 1 回やればそれで終わり。というものではありま せん。2 回、3 回と繰り返せば、社内に実施ノウハウも溜まってきますので、最初はノウハウを 求めてベンダーに委託していた作業も、繰り返すうちに、単純に作業をお願いするだけのような ものになってきます。単純な作業の代行となってくると気にかかってくるのがコストの問題。 最初は自分では無理だと思っていた作業も、自分でできるとなれば、毎回ベンダーに高い費用を 払って訓練を実施するのは無駄に思えてくるはずです。ましてや、潤沢ではない予算の一部を訓 練のために毎回拠出しなければならないというのも負担と感じるはずです。 「標的型攻撃メール対応訓練実施キット」は、セキュリティ担当者が自分の手で訓練を実施でき るようにすることをコンセプトとしているので、ベンダーが実施する訓練サービスのように、実 施する度に費用がかかることも、また、訓練対象者に比例してコストが増えることもありません。 何度訓練を実施しようと、また、何人を対象に訓練を実施しようとも、全ての作業を社内の内製 で行う以上、費用は一切かかりません。何度でも繰り返して実施することが必要な訓練だからこ そ、実施に費用が掛からないで済むことは、継続して続けていく上では非常に重要なことです。 訓練サービスを使う場合 キットを使う場合 1回目の訓練実施費用 25万円~数百万円 (ベンダーによって異なる) 5万4千円 (スタンダードキットの場合) 訓練対象者数 対象者数によって費用が上昇 無制限 訓練実施回数 1回のみ 無制限 開封者情報の集計 ベンダーで実施 ツールを用いて自分で実施 訓練実施結果のとりまとめ ベンダーで実施するため、結果が 入手できるまで時間が必要 自分で行うため、訓練を実施した その場で結果の入手が可能 2回目以降の費用 訓練実施回数×1回毎の実施費用 自分で行うので0円 訓練サービスを利用する場合と、キットを使う場合の違い
  • 13. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 12 - 縁マーケティング研究所を応援 訓練実施に必要な作業をすべて社内の内製で済ませれば、出ていく費用はないので、「いつでも」 「自由に」「コスト 0 円」で訓練を実施できます。 実際にこれが実現できれば、これ以上に良い方法はないはずです。 でも、内製で訓練実施準備を行うのに、「面倒な手間」がかかったのでは、「やっぱりベンダーに お願いした方がいい」ということになってしまいます。この点はかかるコストと手間、そして、 得られるメリットのバランスで判断するしかありませんが、自分で作業をしたらあまりにも手間 がかかりすぎて、「もう、こんな作業やりたくない」と思ってしまうのなら、やはり、ベンダー にお願いした方がいい。ということになるでしょう。 しかし、「標的型攻撃メール対応訓練実施キット」は、「ベンダーで行っている作業を、単に自分 でできるようにしただけ」というものではありません。このキットは、ある企業が訓練実施のた めに毎年行っていた面倒な作業を、手間をかけずに簡便なものしたいというニーズから生まれま した。つまり、訓練実施にかかるコストを下げることを目的に生まれたものではなく、手間をか けずに訓練を実施できるようにすることを目的に生まれたもので、コストがかからないのは、手 間がかからない方法を実現した結果だということです。 例えば、模擬のマルウェアを開封してしまった人が誰か?を集計するということであれば、キッ トに付属のツールを使えば、簡単な操作だけで、ほぼリアルタイムに集計ができます。ベンダー に依頼した時のように、結果が出てくるまで何日も待つ必要は全くありません。このようなこと ができるのは、このキットならではのメリットです。
  • 14. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 13 - 縁マーケティング研究所を応援 訓練の実施に関して全ての作業をベンダーにお願いすれば、失敗もなく、楽ですが、自分で作業 を行えば、次のようなメリットが得られます。 1.標的型攻撃の仕組みや、攻撃者の心理がわかる。 2.自社のシステムがどのような攻撃に弱いかを実感できる。 3.従業員の反応をダイレクトに知ることができる。 4.訓練実施に関するノウハウが社内に蓄積される 1.標的型攻撃の仕組みや、攻撃者の心理がわかる。 標的型攻撃にどのような方法が使われるかを知る最善の方法は、自分で標的型攻撃メールを作っ てみることです。実際に自分で作ってみれば、標的型攻撃の仕組みを理解することに繋がります。 そして同時に、攻撃者の側に立つことによって、どのような考えを持って攻撃を仕掛けてくるの かを理解することにも繋がります。 どのような攻撃を仕掛けてくるのか、また、どのような考えを持って攻撃を仕掛けてくるのかが わかれば、対策もより具体的なイメージを持って検討することができます。的確な対策を打つた めには、やはり相手を知ることが一番です。 2.自社のシステムがどのような攻撃に弱いかを実感できる。 標的型攻撃メールを自分で作ることができれば、様々なケースを自分で試してみることができま す。これをベンダーにお願いした場合、ケースごとの費用を請求されることになるので、おいそ れと依頼することはできないでしょう。しかし、自分でできれば、思う存分試すことができます。 これは、自分で作業ができることの大きなメリットです。
  • 15. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 14 - 縁マーケティング研究所を応援 自分自身が攻撃者と同じ知識を持つということは、自社のシステムを攻撃者から守ることができ るということでもあります。訓練実施に関する作業を自分でできれば、このようなメリットも得 られることになるのです。 3.従業員の反応をダイレクトに知ることができる。 ベンダーに訓練の実施をお願いした場合、模擬の訓練メールを送付した後の従業員の反応につい ては、開封者情報の集計を行うベンダーに確認するしかありませんが、自分で訓練を実施し、開 封者情報の集計を自分で行えば、誰が模擬のマルウェアを開封したのか?そしてそれはいつ開封 したのか?をダイレクトに知ることができます。 もちろん、ベンダーからの報告書によって後から知ることもできますが、訓練を実施している最 中の生々しい状況などを報告書に織り込むのは難しいので、そういった情報を報告書から読み取 るのは当然難しくなります。 自分で訓練を実施することにより、訓練を実施している最中に従業員の反応をダイレクトに把握 することができれば、見えてくる課題もあるというものです。自分で作業を実施できるというこ とは、このようなメリットを得ることにも繋がるのです。 4.訓練実施に関するノウハウが社内に蓄積される 自社内で作業を内製すれば、当然、そのノウハウが社内に蓄積されます。何度も訓練を実施すれ ば、その分だけノウハウも溜まっていくことになります。ノウハウが溜まっていけば、作業を効 率化する方法も見えてくるので、作業はますますやりやすくなるという好循環が得られるように なります。また、訓練を実施する度に課題も明確に見えるので、次の訓練で取り組むべき課題も 社内で共有することができます。 自分で作業をすることは一見、手間なようにも思えますが、自分でやるからこそ得られるメリッ トもあります。もし、年に数回、ベンダーに委託して訓練を実施されているなら、そのうち1回 は自分の手で訓練を実施してみることをお勧めします。
  • 16. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 15 - 縁マーケティング研究所を応援 訓練実施の必要性、そして、あなたの手で訓練が実施できるということは、本書の中でお伝えし ました。本書を読まれたあなたが次にすべき事、それは以下の3つのいずれかです。 1.自社では訓練なんて必要ないと判断し、何もしない。 2.ベンダーに訓練実施を依頼する。 3.自分で訓練を実施してみる。 訓練などしなくても、リスクは十分回避できる自信がある、もしくは、被害に遭ったとしても、 リカバリーできる資源やリソースは潤沢にあるというのであれば、何もしないという選択はもち ろん有りだと思います。 しかし、その自信がないのに、あえて訓練を実施しないという選択は、保険を掛けずに車を運転 するようなものです。このような危険な行為は、セキュリティ担当者、そして経営者であればす べきではないでしょう。 そうなると、選択肢は2つ、自分でやるか、外注するかですが、外注すれば当然コストがかかり ます。しかし、自分でやればコストはかかりません。「標的型攻撃メール対応訓練実施キット」 を使ったとしても、かかるコストは 54,000 円(税別・スタンダードキットの場合)です。 コストを掛けないでできるのなら、それに越したことはありません。ベンダーに頼ることも一つ の選択ですが、いきなり頼る前に、まずは、自分できることを試してみるのも、一つの選択では ないでしょうか? 「標的型攻撃メール対応訓練実施キット」は、手間とコストをかけることなく、自分で訓練 を実施できるようにすることを目的としたものです。あなたが試す価値は十分にあります。
  • 17. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 16 - 縁マーケティング研究所を応援 外注不要、低価格で標的型攻撃メール対応訓練を実施できる 『標的型攻撃メール対応訓練実施キット』 ~専門知識を有する人材がいない組織でも手軽に訓練が実施可能に~ 「標的型攻撃メール対応訓練実施キット」開発の背景】 増え続ける「標的型攻撃メール」から身を守るためには、「標的型攻撃メール」 がどのようなものであるかを実際に体験する模擬訓練が効果的ですが、専門の知 識を持たない組織が訓練を実施するためには、専門の業者に依頼するしか方法が なく、数十万~数百万円という費用負担の大きさから、特に中小の事業所にとっ ては利用しづらい状況にあります。 このような背景から、訓練実施の手引書やツールなど、必要なもの一式をキッ トとしてパッケージ化することで、専門知識を持たない中小事業所でも、費用の かかる専門業者に依頼することなく、低価格且つ、手軽に訓練を実施することを 可能と致しました。 【「標的型攻撃メール対応訓練実施キット」の特長】 1. 専門知識が不要 訓練実施の具体的な手順を手引書にまとめていますので、専門知識を持たない担当者でも、手引書に 従って進めていくことで、訓練を実施することができるようになっています。 2. 専用のシステムが不要 訓練を実施するにあたって専用のシステムを用意する必要がありません。訓練用の模擬メールの送信 など、全ての作業は、Microsoft Excel が使えるパソコンが 1 台あればできるようになっています。 3. ライセンスが不要 訓練対象者数や、訓練実施回数に応じた費用体系ではないため、訓練対象者数が何人いようと、また、 何回訓練を実施しようと、キットの購入費用以外の費用は発生しません。 4. カスタマイズが可能 訓練用の模擬マルウェアプログラムや事前教育用のコンテンツなどは、全てカスタマイズ可能なテン プレートの形で提供されるため、訓練実施に際して、利用組織独自のコンテンツを含める事が可能です。 5. 集計ツールが付属 訓練対象者のうち、誰が訓練メールを誤って開いたかの結果を集計するためのツールが付属しており、 担当者自身の手で、リアルタイムに実施状況を把握することができます。 6. 訓練実施の準備が簡単 キットに含まれる訓練用の模擬マルウェアプログラムや事前教育用のコンテンツは、全てほぼ完成品とし て提供されるため、半日とかからずに訓練実施の準備をすることができます。
  • 18. Copyright ©2014 縁マーケティング研究所 All Rights Reserved. - 17 - 縁マーケティング研究所を応援 【「標的型攻撃メール対応訓練実施キット」の概要】 名称 : 標的型攻撃メール対応訓練実施キット 販売料金 : スタンダードキット:54,000 円(税別) プレミアムキット:148,000 円(税別) キット内容 : 訓練実施手引書、訓練用模擬マルウェアプログラムテンプレート、 事前教育実施用コンテンツ、模擬マルウェア開封者数集計ツール 訓練用メールの本文テンプレート URL : http://標的型攻撃メール対応訓練実施キット.biz/ http://ux1.co/ (短縮 URL) 開発・販売 : 縁マーケティング研究所 本キットによる訓練実施の準備から実施までの流れは以下の通りとなります。 1. 訓練実施担当者のパソコンにて、標的型攻撃メールに添付する模擬のマルウェアプログラムを作成し ます。ここで作成する模擬のマルウェアは、ユーザーに無害なものであり、実際のマルウェアの代わ りに、教育用のコンテンツが表示されるようになっています。 2. 事前教育用のコンテンツを利用し、訓練対象者に事前のセキュリティ教育研修を実施。 3. 教育研修実施後、訓練用メール本文テンプレートを利用して訓練用の模擬メールを作成し、抜き打ち で訓練対象者に訓練用の模擬メールを送付。 4. ユーザーが誤って模擬マルウェアを開封すると、担当者にメールで通知が届くので、キットに同梱の ツールを用いて結果を集計。結果は Excel のデータなので、担当者様にて自由に加工することができ ます。また、誤って模擬マルウェアを開いてしまったユーザーには、その場で教育コンテンツを表示 するので、後で集合研修をやり直すなどの手間は不要となっています。 「標的型攻撃メール対応訓練実施キット」に関して詳しい資料が欲しい、 また、話を聞いてみたいといったご要望がありましたら、以下をクリックして いただくか、seckit@ux1.co 宛までお問い合わせ下さい。 訓練に関する相談のお申し込キットの詳細資料を取り寄せる