情報セキュリティ担当者にとっての標的型攻撃メール訓練の効果とは

標的型攻撃メール訓練では組織を無傷で守れない

情報セキュリティ担当者が組織で初めて標的型攻撃メール訓練を実施しようと考える場合、標的型攻撃メール訓練にもっとも期待するのは、悪意ある第三者から標的型攻撃メールが送られてきても、組織の人がその標的型攻撃メールにひっかからないようになること、だと思います。

私も自組織ではじめて標的型攻撃メール訓練を実施した時は、そう思っていました。

しかし、標的型攻撃メール訓練を実施すると分かりますが、必ずひっかかって添付ファイルを開封したり、本文に記載されたURLリンクをたどって模擬マルウェアダウンロードサイトを閲覧したりする人が一定数存在します。

100人中100人が、どう見ても不審だと感じる変なメールなら、誰一人として標的型攻撃メールにはひっかかりません。

しかし、最近の標的型攻撃メールは、「請求書」「荷物の再配達」など、誰かはひっかかってしまう件名や内容で送られてきますので、例え毎年毎年繰り返し標的型攻撃メール訓練を実施していても、悪意ある第三者に、組織のメールユーザー25人ほどがターゲットにされてしまえば、そのうちの誰かは、まんまとウイルスが仕込まれた添付ファイルを開封したり、本文に記載されたURLリンクをたどってマルウェアダウンロードサイトを閲覧したりすることになるのです。

つまり、標的型攻撃メール訓練を何度繰り返して実施しても、残念ながら標的型攻撃メールから組織を無傷で守ることは出来ないのです。

標的型攻撃メール訓練実施の目的

何度繰り返し実施しても標的型攻撃メールにひっかかるなら、標的型攻撃メール訓練を行う必要はないのでは?そう思われる人もいるかもしれませんが、だからこそ標的型攻撃メール訓練を実施する必要があるのです。

たしかに標的型攻撃メールにひっかかる事を完全に防ぐことは出来ません。

これは標的型攻撃メールだけではなく、あらゆるサイバー攻撃に対して同じ事が言えます。

そこで今我々に求められるのは、攻撃を受けないための事前の対策以上に、攻撃を受ける事を当たり前として、その時、いかに被害を少なくするかという事後の対策です。

この事後対策をしっかりと行うために、標的型攻撃メール訓練は必要なのです。

標的型攻撃メールなどのサイバー攻撃に備える事後対策は別の記事、標的型攻撃メール訓練と同時に必ずやるべき事とは、でも詳しく述べていますので、是非あわせてお読み願います。

標的型攻撃メール訓練と同時に必ずやるべき重要な事とは
標的型攻撃メール訓練と同時に必ずやるべき事は、ウイルス感染が疑われる時の事後対応手順の確認と、インシデント発生時の連絡体制や報告方法の確認です。

添付ファイル開封率

はじめて標的型攻撃メール訓練を実施すると、添付ファイルの開封率は軽く10%を超え、組織によっては20%に迫る勢いの結果が出るはずです。

どこの組織も訓練結果はあえて公表などしませんので、この数字は標的型攻撃メール訓練を扱っているセキュリティベンダーに私が独自に聞き取りをして得た数字です。

最近の標的型攻撃メールの特徴を模した模擬攻撃メール内容でこの結果なので、もっとひっかかりやすいメール内容にすれば、開封率はさらに上がります。

あなたの組織の訓練における添付ファイル開封率が、このような驚きの結果でも、これは他の組織に比べて高い割合ではなく、現状では実際の攻撃を組織全体で受ければ、ほぼ間違いなく被害を受けるということです。

開封率0%じゃなければ直接的な効果はない

どんな巧妙な模擬訓練メールを何度送っても開封率0パーセント」にならなければ、標的型攻撃メール訓練の直接的な効果はありません。

この結果をもとに、サイバー攻撃は防ぐ事が不可能でありサイバー攻撃を受けた場合にいかに被害を少なくするか、を考えていくこと、それが標的型攻撃メール訓練の目的であり効果です。

すでに何度も何度も繰り返し標的型攻撃メール訓練を実施している私の組織の開封率は5%前後です。平均と比べると低い数字ですが、20%と5%に大した違いはありません。組織全体が攻撃を受けると、双方必ず被害を受けます。

標的型攻撃メール訓練の開封率を示して予算獲得

上層部に対して、残念な訓練結果の報告は気を使うでしょうが、残念な結果をもとに、サイバー攻撃を防ぐための事前対策予算を要求すると、比較的楽に予算が取れるかもしれません。

何もせずに、心配だからと新しいソリューションの導入を提案しても、現状問題がない時にはなかなかGOサインは出ないものですが、実際に標的型攻撃メール訓練を行って、リスクがある状況を数字で理解してもらえば、要求は通りやすいはずです。

そういう意味では標的型攻撃メール訓練は事前対策にもなると言えるかもしれませんね。

標的型メール攻撃対策

こんな記事も一緒に読んで欲しい!

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。私の実体験を交えながら情報セキュリティ対策を解説しています。

arisaをフォローする
arisaをフォローする
情報セキュリティ対策の真実

コメント