ピンボール戦車少女

LAC WATCH

セキュリティとITの最(zui)新情(qing)報

RSS

株式会社ラック
導入事例 | 

IMV株式会社様 標的型攻撃メール訓練 T3 with セキュリティ教育事例

シェアボタンを表示

社員の危機意識を高める教育がセキュリティ対策の第一歩
巧妙化する標的型攻(gong)撃(ji)メールに対しては訓(xun)練が有効(xiao)

IMVは振(zhen)動を中心とした環(huan)境試(shi)験(yan)(yan)・計測(ce)・解析(xi)装置の製(zhi)(zhi)造(zao)・販(fan)売をしており、メーカーの枠を超え、受(shou)託(tuo)試(shi)験(yan)(yan)サービスやソリューション業(ye)務(wu)なども国内外(wai)(wai)で展開している。例えば、電(dian)(dian)気自(zi)動車の電(dian)(dian)池パックやカーナビなどの車載(zai)部(bu)品は、自(zi)動車の中で揺れ続けている。環(huan)境試(shi)験(yan)(yan)では、製(zhi)(zhi)品がその寿命を全うする内に受(shou)けるストレスの合(he)計を試(shi)験(yan)(yan)室内で再現し、品質が保(bao)たれるかどうかを確認する試(shi)験(yan)(yan)である。日本の工業(ye)製(zhi)(zhi)品は諸外(wai)(wai)国と比較して高い品質と信頼性を誇(kua)っているが、IMVの振(zhen)動試(shi)験(yan)(yan)システムがその一端を担っているといえるだろう。

IMVの顧客は、製造業・大(da)学・研究所など多岐(qi)にわたり、独BMW・JAXA・キリンホールディングス・TOTOをはじめ、多くの企業がIMVの振動試験装置(zhi)を使用している。身近な例では、パナソニックがモバイルPC「Let's note」の環境試験にもIMVの振動試験装置(zhi)が使われている。

セキュリティ面から見た環境試験(yan)(yan)事(shi)業の特徴は、顧客の機(ji)密データを取(qu)り扱っていること。「試験(yan)(yan)をしているということは、世(shi)間に発表する前(qian)の製品ということ。データの漏えいは許(xu)されない」と、IMVで情(qing)報システム部長を務(wu)める宮(gong)西 靖氏は指(zhi)摘する。振動試験(yan)(yan)の受託サービス事(shi)業では、ISMS(情(qing)報セキュリティマネジメントシステム)の規(gui)格であるISO27001の認証も取(qu)得している。

こうした背景(jing)からIMVは、社員(yuan)のセキュリティ教育に力(li)を入(ru)れてきた。今回、セキュリティ教育の一環として、ラックが提供する「標的(de)型(xing)攻撃メール訓練 T3(ティースリー)」を導入(ru)した。疑似的(de)な攻撃メールを社員(yuan)に定(ding)期的(de)に送信(xin)し、正しいメールと信(xin)じて開(kai)封する「開(kai)封率」を抑えることで、セキュリティ意識(shi)を醸成(cheng)する実(shi)践(jian)型(xing)かつ体験型(xing)のサービスである。

社員のセキュリティ教育にスライド資料と理解度テストを自作

IMV 経営企画本部 情報システム部長 宮西 靖 氏
IMV 経営企画本部 情報システム部長
宮西 靖 氏

宮西氏がIMVの情(qing)報システム部に加(jia)わる以前、IMVは市販のセキュリティ教(jiao)材を社(she)員(yuan)教(jiao)育に使っていた。宮西氏は、4年前にIMVの情(qing)報システム部に加(jia)わり、社(she)員(yuan)向(xiang)けのセキュリティ教(jiao)材をスライドで自作した。加(jia)えて、Google Workspaceのフォーム機能を用い、理(li)(li)解度テストを実装した。社(she)員(yuan)は、資料を読み、選択式の理(li)(li)解度テストを受ける形だ。

「教材(cai)の作成には手間がかかった」と宮西氏(shi)は振り返る。独立行政法人情報(bao)処理推進機(ji)構(IPA)が毎年(nian)(nian)発(fa)表している「情報(bao)セキュリティ10大脅威(wei)」などのトレンドに合わせて、毎年(nian)(nian)内容(rong)をアップデートしている。感染(ran)が拡大しているマルウェア「Emotet」などのトレンドネタも含める。IMVには海外子会社もあるので、英語版の資料も用意する必(bi)要がある。

運(yun)用の苦労もあった。教育(yu)を受(shou)講してくれないケースでは、受(shou)講してもらえるように社(she)員に頼(lai)んだり、それぞれの部門(men)長に未受(shou)講者を伝(yun)えたりなど、地道に取(qu)(qu)り組んだ。こうした苦労のかいもあり、「教育(yu)を何年か継続してきたことで、怪しいメールを受(shou)け取(qu)(qu)ったら情報システム部門(men)に報告する、という文(wen)化が醸(niang)成された」(宮(gong)西氏)。

巧妙な標的型メールに触れる機会が必要、メール訓練を導入

IMVがセキュリティ意識を向上させる活動に注(zhu)力する一方で、Emotetで使われるような巧妙(miao)な標的型攻撃メールを見(jian)抜くことは難しい、という現実(shi)もある。「差出人を詐称したり、昔(xi)のような"怪しい"日本語ではなく流ちょうな日本語で書かれていたりするので、見(jian)抜けない」(宮西氏(shi))。こうした中、社(she)員が標的型攻撃メールに対して敏感になる機会を設けなければならない、と感じた。

IMVがセキュリティ事故(gu)を起こせば「IMVに振動(dong)試(shi)験を頼(lai)みたくない」ということになり、ビジネスに大きな影響が出てしまう。スライド資料(liao)と理解度テストに加えて、もう一手何かできないかを検討したところ、標的型対策メール訓練の導入というアイデアが浮上(shang)した。

IMVは、経営幹部向(xiang)けにセキュリティの最新動向(xiang)を知ってもらうセミナーをラックの協力で実施し、この時に訓(xun)練(lian)サービスの紹介を受(shou)けた。「類似サービスが多い中、サービスを開始して間もない最新のサービスだったこともあり、内容の質が高いと評(ping)価した」(宮西氏)。

テンプレートを流用し、本物に近い攻撃メールを再現

IMVはまず、大(da)阪本(ben)社のスタッフ部(bu)門(人事、経理(li)、総務(wu)など)に在(zai)籍する30人弱を対象に、標的(de)型攻撃メールの訓練を実施した。現場に対しては、「何(he)月の下旬」といったように、あらかじめ大(da)まかな実施時期(qi)を伝(yun)えて実施した。訓練に使ったメールの文(wen)面(mian)は「メールの容量(liang)がいっぱいになっている」ことを伝(yun)えるもの。ラックが用意(yi)したテンプレートの1つをそのまま流用し、差(cha)出人の名前を記述するFROMヘッダの文(wen)言を「情報システム部(bu)」に変(bian)えた。

「テンプレートは64種類と豊富で、送(song)信者のメールアドレスも複数から選(xuan)べる。テンプレートごとの開封率の違(wei)いもデータ化している。ラックは、メール攻撃(ji)のトレンドをきっちり研究している」と宮西氏(shi)(shi)は評価する。「URLと添付ファイルの両方の試験が同時にできる点も良い」(宮西氏(shi)(shi))。

訓練(lian)サービスでは、訓練(lian)結果(guo)(guo)のレポートも自動(dong)で生成してくれる。「業(ye)界ごとの開封率(lv)の平均(jun)値や自社(she)(she)の位置が視覚(jue)的(de)に分(fen)かる。一目瞭然なので説得力がある」と宮(gong)西(xi)氏(shi)は高く評価する。「訓練(lian)の結果(guo)(guo)は芳しくなかった。結果(guo)(guo)を社(she)(she)長に見せたらショックを受けていた」(宮(gong)西(xi)氏(shi))。

初動は合格。不審なメールの報告フローが社員に浸透していた

訓練(lian)メールに引(yin)っかかった社員(yuan)が想像以上に多かった一方で、訓練(lian)メールに引(yin)っかからなかった社員(yuan)の多くは、初動がしっかりしていた。「こんなメールが届(jie)いたが、どうすればいいのか。添付ファイルを開(kai)封しても大丈夫か」といった問い合(he)わせを、同(tong)じフロアにいる情報システム部門に聞きに来た。

日常のセキュリティ教育において、「怪しいと感じたら情報(bao)(bao)システム部門に通知してほしい」と伝えてあった。このため、訓(xun)練メールを不(bu)審に感じた社員については、しっかりと行動ができていた。「これまで学んできた報(bao)(bao)告(gao)フローが社内に浸透していた」(宮(gong)西氏(shi))。

実(shi)施(shi)後のアンケートでも、訓(xun)練(lian)に対して否定的な意(yi)見は無(wu)かった。決(jue)算(suan)期を避けて訓(xun)練(lian)を実(shi)施(shi)したが、現場(chang)からは「決(jue)算(suan)の真っただ中にやったほうがバタバタしていて引っかかりやすいから、むしろ良い訓(xun)練(lian)になったかもしれない」という意(yi)見まで出た。「社員(yuan)は訓(xun)練(lian)に理解を示している。ありがたい」(宮西(xi)氏)。

事業部向けのメール訓練では訓練後のフォローアップ教育をセット化

第2弾の訓(xun)練(lian)メールは、ISO27001の認(ren)証を取得している事業部(bu)(bu)全体(ti)へと範囲を広(guang)げる。内部(bu)(bu)監査(cha)のために宮(gong)西氏が事業部(bu)(bu)を訪(fang)問した際に、「標的型攻撃メールの訓(xun)練(lian)をやる」ことを伝えたが、反対意見は出なかった。「全社(she)的に訓(xun)練(lian)を受け入れる土壌ができている」(宮(gong)西氏)。

ラックがeラーニングとセット化した訓(xun)(xun)練メールサービスを提供する2022年7月に合わせ、第2弾のメール訓(xun)(xun)練を実施する。訓(xun)(xun)練後のフォローアップ教育によって学習効(xiao)果を高(gao)めるのが狙い。「開封してしまった人(ren)への教育がシームレスにつながる点がメリット」と宮(gong)西氏は期待(dai)する。

スライド資料と理解度テストでも、4問中2問不正解だった人を抽出し、個別にフォローアップしていた。だが、テストの実施からフォローアップまでに時間がたってしまう難点(dian)があった。「テスト直後にフォローアップコンテンツを見(jian)せれば、熱(re)が冷めないうちに習得できる」(宮西氏)。

セット化するeラーニングは、サービス開(kai)始時点で4つ。Emotetで使われるメール文面の具体的(de)な内容や特徴が分かるなど、標(biao)的(de)型(xing)攻撃メールのトレンドを押さえたとラックのDI統括(kuo)部(bu) デジタルセキュリティサービス部(bu)の部(bu)長(chang)を務める吉田(tian) 聡(cong)は説明する。メールの添付ファイルやURLを開(kai)いてしまった時にはどうすればよいかも分かる。

訓(xun)練メールサービスの今(jin)後について宮(gong)西氏は、「実際の現(xian)場(chang)で、どういったメールがよく開(kai)かれたかなど、実データをフィードバックしてほしい」と期待(dai)を寄せる。また、「自社に適したテンプレートを選びやすいように、トレンドや業種(zhong)で絞り込めるとベストだ」としている。

ラックは、標的(de)型(xing)攻撃メールを受け取る人(ren)を対象に、訓練メールとeラーニングをセットにした。今後(hou)のロードマップとして、ペネトレーション(侵入)テストを組み合わせるなど、システムを総(zong)合的(de)に守るシナリオを提供(gong)していく。

ラック DI統括部 デジタルセキュリティサービス部 部長 吉田聡
ラック DI統括部
デジタルセキュリティサービス部 部長
吉田 聡

「標的型攻撃(ji)メール訓練(lian) T3による訓練(lian)の効果を、教(jiao)育と組み合わせることでさらに高めていきたい」

ラック DI統括部 セキュリティアセスメント部 部長 西村 篤志
ラック DI統括部
セキュリティアセスメント部 部長
西村 篤志

「システムのセキュリティ対策が十(shi)分であるかはセキュリティ診断で確認(ren)できるが、人への対策として教育が十(shi)分であるかは評価が難しい。T3では開(kai)封率や理(li)解度テストなど複数の手段(duan)で対策の浸透具合(he)を把(ba)握できる」

導入事例のダウンロードはこちらから

PDF版ダウンロード(595.8KB)

お客様プロフィール

IMV株式会社様

導入サービスのご案内

詳細は、サービスページをご覧ください。

標的型攻撃メール訓練 T3 with セキュリティ教育

この記事は役(yi)に立ちましたか?

はい いいえ