リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
近年、特定の組織や個人にメールを送りつけて攻撃する「標的型メール攻撃」が深刻な脅威となっています。標的型メール攻撃とはメールに添付されているファイルを開いたり、本文に記載されているURLにアクセスさせることでマルウェアに感染させ、遠隔操作等で機密情報を詐取したり、ランサムウェアに感染させて脅迫する等の攻撃のことです。メールは古いテクノロジーであるにも関わらず利用頻度は依然として高く、様々な攻撃の入り口となっています。
また、近年では、メールではなくスマートフォンなどへのSMS(ショートメッセージサービス)を悪用したフィッシング「スミッシング攻撃」による被害も急増しています。独立行政法人情報処理推進機構(IPA)発表の「情報セキュリティ10大脅威 2022」では、SMSを悪用した攻撃は標的型メールと並び上位に位置づけられています。SMSを悪用した攻撃は一見、個人を狙ったものに見えますが、業務用ではなく個人で利用しているスマートフォンであっても、パスワードの使いまわしなどがあった場合、個人を狙った攻撃を足がかかりにビジネス側への情報漏えいなどにもつながってしまいます。
この「標的型メール攻撃」「SMSを利用したスミッシング攻撃」に対して有効な対策の一つが弊社の「標的型メール・SMS訓練」です。
攻撃を模した無害なメール・SMSを訓練対象者に送付します。訓練対象者が添付ファイルまたは本文中のURL(※1)を開いた場合、注意喚起を促す教育コンテンツが表示されます。教育コンテンツではなく、疑似フィッシングサイトを表示し、従業員がID/パスワードを入力するかを検証する、さらに実践的な訓練も可能です(※2)。訓練結果は、開封/未開封数等を集計・評価し、改善の重点ポイントや具体的な改善方法などとともに管理者にご報告いたします。
※1:SMSを選択した場合は、URL型のみとなります
※2:ID/パスワードは入力有無と桁数のみ取得し、パスワードそのものを取得することはありません
弊社が提供する標的型メール・SMS訓練は以下の機能等を備えています。
機能名 | 備考 | |
---|---|---|
訓練手法 | メール | 標的型メール訓練として、メールを従業員等に送信し、添付ファイルやURLの開封状況を確認する訓練です。 |
SMS | スミッシング攻撃を模したSMSを従業員等の電話番号に送信し、添付ファイルやURLの開封状況を確認する訓練です。 | |
送信コンテンツ | メールテンプレート | それぞれ数十種類のテンプレートを提供の上、要望に応じてカスタマイズを行います。 |
SMSテンプレート | ||
訓練タイプ | ファイル添付型とURL埋込み型から選択が可能。 ※SMSの場合はURL型のみとなります。 |
|
送信 | ランダム送信 | 無作為に分割して送信することで、訓練であることの浸透を防ぎ、より訓練効果を高めることができます。 |
送信メールドメイン | 複数のアドレスから選択が可能です。 | |
開封・アクセス先コンテンツ | 疑似フィッシングサイトの表示 | 教育コンテンツを出さず、フィッシングサイトとしてID/パスワードの入力有無を確認できます。 ※ID/パスワードは入力有無と桁数のみ取得し、パスワードそのものを取得することはありません。 |
教育コンテンツの表示 | 添付ファイル教育コンテンツをウェブサイト上で表示する形で提供します。 | |
言語 | 日本語、英語の対応が可能です。 | |
分析・評価レポート | 開封データの提供 | CSV形式で生データを提供します。 |
訓練結果報告書の提出 | 訓練結果報告書において、他社比較とともに、改善ポイントなどを取りまとめ提出します。 |
支援は最初の打ち合わせから報告書を提出し報告会を行うまで、約2ヶ月となります。報告会も含め計4回の打ち合せの中で進めていきます。
訓練用メール・SMSを受け取った従業員の開封率等について、役職、部署、職種、拠点などの軸で集計・分析を行い、評価を報告書として提出いたします。 報告内容には、重点を置いて改善すべきポイントや改善方法等、サイバー攻撃から自組織を守るための一連の助言を含みます。
概要 | 標的型メール・SMS攻撃に対する訓練を実施し、訓練結果の分析・評価を行います |
---|---|
対象企業 |
|
期間 | 約2ヶ月 |
価格 | 要相談 |
成果物 |
|
日本発の内視鏡AIを世界へ。NIST CSF適用でセキュリティ強化
CSIRT構築をきっかけに高まった、経営層のリスク意識
商船三井グループ全対応、重大ICTインシデント対応体制を構築
経営陣が一堂に会し、その場で意思決定する、実践に即したサイバー演習
標的型メール訓練で初動対応強化。全社のリアルな動きをチェック
金融庁と財務局合同、共通の意識確認を促すサイバーセキュリティ研修
ISMS起点での標的型メール訓練。今後の改善ポイントを洗い出し