サイバーセキュリティ

標的型メール・SMS訓練コンサルティングサービス

構築・策定訓練・演習研修評価・モニタリング・監査改善アドバイザリ認証取得・準拠プライバシー保護セキュリティ診断管理ツールグローバル金融

標的型メール・SMS訓練を実施することの重要性

近年、特定の組織や個人にメールを送りつけて攻撃する「標的型メール攻撃」が深刻な脅威となっています。標的型メール攻撃とはメールに添付されているファイルを開いたり、本文に記載されているURLにアクセスさせることでマルウェアに感染させ、遠隔操作等で機密情報を詐取したり、ランサムウェアに感染させて脅迫する等の攻撃のことです。メールは古いテクノロジーであるにも関わらず利用頻度は依然として高く、様々な攻撃の入り口となっています。

また、近年では、メールではなくスマートフォンなどへのSMS（ショートメッセージサービス）を悪用したフィッシング「スミッシング攻撃」による被害も急増しています。独立行政法人情報処理推進機構（IPA）発表の「情報セキュリティ10大脅威 2022」では、SMSを悪用した攻撃は標的型メールと並び上位に位置づけられています。SMSを悪用した攻撃は一見、個人を狙ったものに見えますが、業務用ではなく個人で利用しているスマートフォンであっても、パスワードの使いまわしなどがあった場合、個人を狙った攻撃を足がかかりにビジネス側への情報漏えいなどにもつながってしまいます。

【図1：IPA「情報セキュリティの10大脅威2022」にみるメールとSMSの脅威】 — 出典：IPA「情報セキュリティ10大脅威 2022」を基に弊社作成

この「標的型メール攻撃」「SMSを利用したスミッシング攻撃」に対して有効な対策の一つが弊社の「標的型メール・SMS訓練」です。

サービスの特長

1. 疑似的に「標的型メール攻撃」の脅威を体験できます: 標的型メール攻撃を訓練で体験していただくことでどのようなものかを理解し、従業員の標的型メール攻撃に対する警戒心を高めることができます。訓練メールの雛形はサンプルを多数用意しておりますので、組織全体や特定の部署のみなど、それぞれのニーズに見合った訓練が可能となっています。

2. SMSを利用した「スミッシング攻撃」にも対応します: メールだけでなく、SMSによる訓練も可能です。近年はメールのみならずスマートフォンなどのSMSを悪用した「スミッシング攻撃」が急増しており、パスワードの使いまわしなどがあった場合、個人のスマートフォンであってもビジネス側にも影響が発生します。セキュリティの啓蒙・注意喚起を行うには、メールに加え、SMSへの対応も有効なセキュリティ対策です。

3. 疑似フィッシングサイトにてID/パスワードの入力有無が確認可能です: 訓練用メールの添付ファイルを開いたり、URLにアクセスした従業員には教育コンテンツを表示し啓蒙を図ることができます。または、教育コンテンツではなく、疑似フィッシングサイトを表示し、従業員がID/パスワードを入力するかを検証する、さらに実践的な訓練も可能です。フィッシングサイトへの注意喚起とともに、パスワードの使いまわしの危険性を従業員に訴求できます。
※本サービスでパスワードそのものを取得・保管することはありません

4. サイバー演習経験が豊富なコンサルタントが最初から最後まで支援します: 本サービスは、お客様自身が訓練ツールにログインし、設定から訓練結果まで確認するSaaS型サービスではありません。訓練設計からテストメールによる受信状況確認、訓練後の報告までの一連の作業を、メール訓練のみならずサイバー演習経験が豊富なコンサルタントが責任を持って支援します。

標的型メール・SMS訓練イメージ

攻撃を模した無害なメール・SMSを訓練対象者に送付します。訓練対象者が添付ファイルまたは本文中のURL（※1）を開いた場合、注意喚起を促す教育コンテンツが表示されます。教育コンテンツではなく、疑似フィッシングサイトを表示し、従業員がID/パスワードを入力するかを検証する、さらに実践的な訓練も可能です（※2）。訓練結果は、開封/未開封数等を集計・評価し、改善の重点ポイントや具体的な改善方法などとともに管理者にご報告いたします。

※1：SMSを選択した場合は、URL型のみとなります
※2：ID/パスワードは入力有無と桁数のみ取得し、パスワードそのものを取得することはありません

主要機能等一覧

弊社が提供する標的型メール・SMS訓練は以下の機能等を備えています。

機能名		備考
訓練手法	メール	標的型メール訓練として、メールを従業員等に送信し、添付ファイルやURLの開封状況を確認する訓練です。
訓練手法	SMS	スミッシング攻撃を模したSMSを従業員等の電話番号に送信し、添付ファイルやURLの開封状況を確認する訓練です。
送信コンテンツ	メールテンプレート	それぞれ数十種類のテンプレートを提供の上、要望に応じてカスタマイズを行います。
送信コンテンツ	SMSテンプレート	それぞれ数十種類のテンプレートを提供の上、要望に応じてカスタマイズを行います。
訓練タイプ		ファイル添付型とURL埋込み型から選択が可能。 ※SMSの場合はURL型のみとなります。
送信	ランダム送信	無作為に分割して送信することで、訓練であることの浸透を防ぎ、より訓練効果を高めることができます。
送信	送信メールドメイン	複数のアドレスから選択が可能です。
開封・アクセス先コンテンツ	疑似フィッシングサイトの表示	教育コンテンツを出さず、フィッシングサイトとしてID/パスワードの入力有無を確認できます。 ※ID/パスワードは入力有無と桁数のみ取得し、パスワードそのものを取得することはありません。
開封・アクセス先コンテンツ	教育コンテンツの表示	添付ファイル教育コンテンツをウェブサイト上で表示する形で提供します。
言語		日本語、英語の対応が可能です。
分析・評価レポート	開封データの提供	CSV形式で生データを提供します。
分析・評価レポート	訓練結果報告書の提出	訓練結果報告書において、他社比較とともに、改善ポイントなどを取りまとめ提出します。

支援ステップ（例）

支援は最初の打ち合わせから報告書を提出し報告会を行うまで、約2ヶ月となります。報告会も含め計4回の打ち合せの中で進めていきます。

評価結果報告書イメージ

訓練用メール・SMSを受け取った従業員の開封率等について、役職、部署、職種、拠点などの軸で集計・分析を行い、評価を報告書として提出いたします。報告内容には、重点を置いて改善すべきポイントや改善方法等、サイバー攻撃から自組織を守るための一連の助言を含みます。

支援実績

弊社の支援実績（抜粋）は下記の通りです。

企業名	業種
廣済堂様	情報通信
サンケン電気様	電気関連
A社	教育・学習支援
B社	不動産
C社	金融
D社	製薬
E社	金融

他多数

サービス概要

標的型メール・SMS訓練コンサルティングサービス

概要	標的型メール・SMS攻撃に対する訓練を実施し、訓練結果の分析・評価を行います
対象企業	標的型メール訓練を定期的・継続的に実施したいお客様メール訓練からさらに進んだSMSでの訓練を行いたいお客様
期間	約2ヶ月
価格	要相談
成果物	標的型メール・SMS訓練計画書標的型メール・SMS訓練実施結果報告書訓練結果CSVデータ