不審メールを開かない「だけ」の対策から一歩先へ、NRIセキュアとS&Jが販売パートナー
フィッシングメール対策訓練を支援、フィッシュミーが日本上陸
2017年04月13日 06時00分更新
フィッシング対策に関する企業の従業員教育を包括的に支援する米フィッシュミー(PhishMe)は4月12日、日本市場への本格展開開始を発表した。対策訓練アプリケーションやIT/セキュリティ担当者向けツールなどの4製品を、S&J、NRIセキュアテクノロジーズの2社から販売開始する。
フィッシュミーはフィッシング対策/教育を支援する4つのサービスを提供
フィッシュミー APAC担当セールスディレクターのダンカン・トーマス氏
国内販売パートナーを務めるS&J 代表取締役社長の三輪信雄氏
不審メールを「開かない」+「通報する」の従業員教育
フィッシュミーの特徴は、企業のフィッシング攻撃対策として「人(従業員)のふるまい、行動パターンを変える」ことを最重要視している点だ。米国では「Fortune 100」企業の過半数が同社サービスを採用しており、従業員教育の結果、フィッシングメールのクリック率が50%から10%以下に低下するなどの効果を挙げている。
フィッシュミーのソリューションに対するフォレスターの評価レポート
従業員の行動を変えるために、フィッシュミーでは企業のフィッシング対策教育を包括的に支援する4つのクラウドサービスを提供している。
スピアフィッシングやソーシャルエンジニアリング、ドライブバイダウンロードといった攻撃シナリオを再現し、従業員への訓練を支援する「PhishMe Simulator」では、本物の攻撃を模した多数のメールテンプレートが提供される。これにより、添付ファイルを開かせるもの、URLをクリックさせるもの、ID/パスワードを入力させるものなど、さまざまな攻撃手法に基づく訓練メールを容易に発信できる。
IT/セキュリティ担当者向けのダッシュボードでは訓練結果が一覧できるようになっており、「フィッシングメールの開封率」などがレポートされる。また、訓練に不合格だった従業員は、フィッシングメールへの注意喚起や見破り方のコンテンツへと誘導される。訓練回数に制限はないので、不合格の従業員には繰り返し訓練メールを送り、対応力を強化していくこともできる。
「PhishMe Simulator」は、さまざまなタイプのフィッシングメール訓練を実行し、その結果をレポートするクラウドサービス
フィッシングメールを受け取った従業員が、IT/セキュリティ担当者へ自発的に通報するよう促すツールが「PhishMe Reporter」だ。具体的には、従業員が使うメーラー(「Microsoft Outlook」「Office 365」「Gmail」「Lotus Notes」に対応)に「報告ボタン」を追加するアドオンで、フィッシングメールと思われるメールを受け取った従業員は、ワンクリックで担当者にメールヘッダや添付ファイルを含め転送できる。担当者への通報を迅速にすることで、社内全体への注意喚起や対応指示といった担当者の初動時間を短縮できる。
「PhishMe Reporter」は、従業員が受け取ったフィッシングメールをワンクリックでセキュリティ担当者に通報(転送)するアドオンツール
IT/セキュリティ担当者が社内からの複数の報告を分類/整理し、優先順位付けや他のセキュリティ機器へのルール作成(たとえば危険なURLや添付ファイルのブロックなど)といった作業を行うのを支援するのが「PhishMe Triage」だ。通報した従業員の“評価”(正確な報告をしてきたかどうか)に基づく優先順位の重み付けもできる。また、同社が提供するインテリジェンスフィード「PhishMe Intelligence」とも連携し、既知の攻撃との自動マッチングによる判断も行われる。
「PhishMe Triage(トリアージ)」は、セキュリティ担当者の対策作業を支援するツール。最新の脅威情報は「PhishMe Intelligence」フィードからも得られる
なおフィッシュミーでは、主要セキュリティ製品ベンダーとの技術連携を行っており、各社インテリジェンスフィードからの脅威情報取得も可能になっている。
フィッシング訓練を導入済みの企業も「さらに一歩先へ」
フィッシュミー APAC担当セールスディレクターのダンカン・トーマス氏は、「ランサムウェア、標的型攻撃など、昨今のあらゆるサイバー攻撃の9割はフィッシング攻撃を糸口として始まる」ようになっており、従業員の大半もフィッシングメールの存在を知ってはいるものの、具体的な防御の「ふるまい」には結びついていないことを指摘。実体験を通じたフィッシング対策訓練を繰り返し実施することで、従業員の行動パターンを変えていくことが重要だと語った。
なおトーマス氏によると、採用企業の中にはフィッシング訓練を「ゲームのようにして」楽しんでいる企業もあるという。訓練メールの送信後、いちばん早く通報した従業員にコーヒーやギフトを贈ったり、精度の高い通報をする“優秀なレポーター”を表彰したり、といったものだ。
またS&J 代表取締役社長の三輪信雄氏は、日本市場でもすでに多くのフィッシング対策訓練サービスが提供されているが、「多くは年1、2回の実施にとどまり、(フィッシングメール開封率も)一定の割合からなかなか下がらない」と指摘。フィッシュミーの訓練は年額制であり、さまざまなタイプのテンプレートが用意されているため繰り返し訓練を実施することができること、また開封率低減だけでなく、積極的に通報を促し、迅速に攻撃を分析できる仕組みが用意されていることなどに、大きな優位性があることを説明した。
「訓練メールならもうやっているという企業も、単に『メールを開かない』からもう一歩先に進んで、SOCやCSIRTへの迅速な報告を周知することができる。たとえフィッシングメールを開いてしまっても、報告があればすぐに対処ができるし、隔離もできる」(三輪氏)
日本市場におけるターゲット顧客について、三輪氏は「まずは金融業界」だと述べた。
「金融機関ではすでに訓練を実施しているが、『フィッシングメールに気づいたら電話で通報すること』というルールを設けたところ、訓練時に電話が殺到してやりきれないという話も聞いた。フィッシュミーの場合、その問題が通報ボタンの仕組みで解決されている。『気づいたら通報するのが当たり前』という常識が社会に浸透していけば、フィッシュミー製品の拡大にもつながるのでは」(三輪氏)
従来の訓練メールとフィッシュミーのカバー領域の違い
フィッシュミーのクラウドサービス利用価格はユーザー単位の年間サブスクリプション制となっている。販売価格は代理店への要問い合わせとしているが、1ユーザーあたり年額の目安として「Simulatorは年額5000円、Triageが1万円、Intelligenceが5000円」(同社)と述べた。日本市場における販売目標は「初年度で100社導入」としている。
