お役立ち情報

なりすましメールに騙されない社員を育てるには?
~PSATで効率的なセキュリティー意識向上を~

#セキュリティ

昨今流行りのChatGPTのような生成AIは、人間が書いたかのような美しい文章を提供してくれるため、非常に便利です。しかし、このようなAIが標的型攻撃やビジネスメール詐欺などの攻撃に悪用されると人々はますます騙される可能性が高くなります。今回は、巧妙化する手口に騙されないために必要な、セキュリティー教育のお話です。

目次
  1. 人を狙った攻撃の種類
  2. 被害拡大の理由と必要な対策
  3. セキュリティーアウエアネストレーニング(セキュリティー意識向上トレーニング)
  4. 「PSAT」と従来のセキュリティー訓練との違い
  5. サイバー攻撃への対策はシステムだけでなく、意識改革も重要

人を狙った攻撃の種類

近年、人を狙った攻撃が増加しています。警察庁と金融庁の報告※1では、フィッシングによるものとみられるインターネットバンキングでの預金の不正送金被害は 2022年8月下旬から9月にかけて被害が急増して以来、落ち着きを見せていましたが、2023年2月以降、再度被害が急増しています。2023年11月末における被害件数は5,147件、被害額は約80.1億円となり、いずれも過去最多を更新しています。

フィッシング詐欺を含め、人を狙った攻撃手法の例としては下記のものがあります。

フィッシング詐欺

偽装したWebサイトやメールを使い、個人情報やパスワードなどを騙し取る手口

標的型攻撃メール

特定の企業や組織、個人を狙ったメールで、偽装されたメールアドレスや巧妙な文章で添付ファイルを開かせたり、URLにアクセスさせたりするように誘導し、機密情報やアカウント情報などを窃取しようとする手口

ビジネスメール詐欺

取引先や自社の経営層などを装い、金銭や機密情報などを騙し取る手口

ソーシャルエンジニアリング

なりすまし電話でパスワードを聞き出したり、ショルダーハッキングを行ったりするなど、人間の心理的な隙や信頼関係を悪用し、情報を盗み出す手口

標的型攻撃による機密情報の窃取とビジネスメール詐欺による金銭被害は独立行政法人情報処理推進機構(IPA)が公表している、組織における「情報セキュリティ10大脅威2024」で4位と8位にランクインしています。
標的型攻撃による機密情報の窃取は9年連続、ビジネスメール詐欺による金銭被害は7年連続で選出され続けており、人を狙った攻撃が企業にとっても大きな脅威となっていることを示しています。

情報セキュリティ10大脅威2024 「組織」向け脅威

出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024

被害拡大の理由と必要な対策

標的型攻撃メールやビジネスメール詐欺などの被害に遭ってしまう根本的な原因はヒューマンエラーと言えます。自分は騙されない、自分には攻撃は来ないだろうと思っていませんか?この「隙」を攻撃者は狙っています。大企業が狙われるという印象があるかもしれませんが、いまや、企業規模に関わらず標的となる可能性があります。

攻撃を受けると、以下のような被害が発生します。

標的型攻撃メールやビジネスメール詐欺などで生じる被害イメージ画像

ビジネスメール詐欺による被害金額のデータとして、IPAが公開している資料※2では、米国連邦捜査局(Federal Bureau of Investigation:FBI)によると、2016 年 6 月から 2021 年 12 月までに、 米国インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)を含む複数の情報源に報告されたビジネスメール詐欺の発生件数は、全米50州と177か国で 241,206件、被害総額は約433億米ドル(未遂を含む)にのぼっています。

米国でのビジネスメール詐欺による年間総被害額

図:米国でのビジネスメール詐欺による年間総被害額

1件あたりの平均被害額は約18万米ドル(日本円では約2,300万円)にもなり、特に中小企業にとっては大きな打撃になることが想像できます。

セキュリティーアウエアネストレーニング(セキュリティー意識向上トレーニング)

いまや、サイバー攻撃は企業にとって災害と同じくらいのダメージを与えるものとなっています。サイバー攻撃に対する備えとして、多くの組織でさまざまなセキュリティーシステムの導入が進んでいますが、巧妙化する標的型攻撃やビジネスメール詐欺などの「人」に対する攻撃をすべてセキュリティーシステムで防ぐことは困難です。
攻撃者はセキュリティーシステムをすり抜けて、人の脆弱性を突いてきます。しかし、人は実際に攻撃を受けた際、訓練をしていないと正しい対処ができません。逆を言えば、日ごろから訓練をすることで、攻撃を回避できる確率が高くなります。そのため、セキュリティーシステムとは別のアプローチとして、一人一人のセキュリティー意識を向上させることが重要です。
それでは、従業員のセキュリティー意識を向上させるために、具体的にどのようなことを行ったらよいでしょうか?
今回はその一つの手法としてセキュリティーアウエアネストレーニング(セキュリティー意識向上トレーニング)をご紹介します。セキュリティー意識向上レーニングとは、人のセキュリティー意識を向上させることでセキュリティーシステムでは防ぐことができない攻撃を防ぐための訓練です。
主に三つのステップに分かれています。

診断

セキュリティー教育においては、従業員のセキュリティーレベルの現状を把握することが大切です。測定したレベルを基にどういったトレーニングを行うか計画を策定します。

変化を促す

トレーニングや啓蒙コンテンツで従業員のセキュリティー意識の向上を狙います。また、怪しいメールが届いたら、開かずに管理者に通報するという正しい行動を意識づけることも重要です。

計測・計画

行われてきたトレーニングや訓練結果を基に、従業員に適したサイクルを再計画します。

「診断」、「変化を促す」、「計測・計画」のサイクルを継続的に回していくことが従業員のセキュリティー意識の向上につながります。

図:セキュリティーアウエアネストレーニングの流れ

従業員全員がセキュリティー意識を持ち、もしもの際に正しく行動・対処できるようにすることが大切です。

こうしたセキュリティー意識向上トレーニングを行うツールとして注目されているのが、「Proofpoint Security Awareness Training」(以下、PSAT)です。

「PSAT」と従来のセキュリティー訓練との違い

これまでも、標的型訓練メール訓練は数多くの企業で実施されてきましたが、従来の訓練手法では下記のような課題がありました。

  • 訓練が形骸化してしまっている
  • 実施するための管理者の負担が大きい
  • 効果測定が難しい

対してPSATは下記のような特徴があり、従来の訓練手法よりも運用負担が少なく、簡単に効果測定が可能です。

  • ゲーム形式やドラマ仕立てなど、受講者が飽きることのない多彩な教育商材
  • 訓練メールのテンプレートが多数用意されており、管理者の負担軽減
  • 怪しいメールの通報がワンクリックで可能
  • ダッシュボードで個人のトレーニング状況や標的型訓練結果を可視化

PSATを導入した後、フィッシングクリック率の減少や怪しいメールの通報率が向上したという結果があり、従業員のセキュリティー意識の向上を着実に支援します。

フィッシングクリック率と怪しいメールの通報率の変化のグラフ

サイバー攻撃への対策はシステムだけでなく、意識改革も重要

冒頭にも述べたように生成AIの登場や技術進化に伴ってサイバー攻撃は巧妙化しています。
企業や組織でのセキュリティーシステムの導入は進んでいますが、セキュリティー教育は後手にまわりがちです。しかし、攻撃者の狙いには「人」も含まれます。改めてそのことを理解し、セキュリティー教育の重要性を理解いただければ幸いです。

ユニアデックスでは今回ご紹介したPSATの他にSASE/SSEやIDaaS、EDRなどさまざまなセキュリティー製品を提供しています。ぜひ、お気軽にお問い合わせください。

関連サービス・商品

Prooflogo_r.png

Proofpoint Security Awareness Training(PSAT)

組織のメンバーのセキュリティー意識向上を実現!

セキュリティ

Copyright © UNIADEX, Ltd. All Rights Reserved