日本語にも初対応、訓練を通じて社員の意識向上を図る「Sophos Phish Threat v2.0」
ソフォス、フィッシングメール対策訓練ツール最新版を提供開始
2018年05月18日 07時00分更新
ソフォスは2018年5月16日、フィッシングメール対策訓練ソリューション「Sophos Phish Threat」のバージョン2.0を欧州およびアジア市場で提供開始すると発表した。バージョン1.0は2017年に発表、提供していたが、英語版のみだった。新版では日本語や韓国語、フランス語、イタリア語を含む9カ国語に対応したほか、訓練用のメールキャンペーン作成ウィザードやダッシュボードを改良するなどしている。
Phish Threatは、フィッシングメール攻撃に対する社員のセキュリティ意識向上を促すトレーニングソリューションだ。セキュリティ管理者が訓練対象の社員を個別またはグループで登録し、送信するフィッシングメールのテンプレートを選択するだけで、訓練メールが送信される。送信メールのテンプレートとしては、たとえばGoogleのログインがロックされた際の通知メール、SNSのポリシー変更通知メールなど、140種類以上が用意されている。さらに、件名や文面をカスタマイズすることもできる。
社員が訓練メール内のリンクをクリックした場合、それが訓練メールであることを明かすとともに、指定されたトレーニングモジュールのサイトにリダイレクト。社員はゲーム形式のトレーニングを受けなければならない。このトレーニングは、フィッシングや認証情報の収集、ソーシャルエンジニアリング、ランサムウェアなどの知識を教える30種類以上が提供されている。トレーニングを実施していない社員にはリマインダーを送信することもできる。
訓練をより効果的にするために、登録した対象ユーザーの5%のみ、10%のみに送信するなど、細かな送信設定やスケジュール送信に対応。管理はすべて「Sophos Central」のコンソール画面から行える。
訓練用のフィッシングメールが他社のメールセキュリティ製品に排除されないように、訓練で使うドメインはすべてソフォスが取得しており、SPF(Sender Policy Framework)ドメイン認証を適用しているメール環境でも問題なく配信される。また、訓練メールのリンク先もソフォスのサイト内であり、「これまでのところ接続できなかったなどの報告はない」とソフォスの足立修氏は説明する。
「CSO Onlineによると、2017年後半のフィッシングメールの93%はランサムウェアのペイロードが含まれていたという。そんな中で、グローバルで330人のIT専門家に実施した調査によると、41%が少なくとも毎日フィッシング攻撃を受けていると回答。しかし、組織の62%はフィッシングに対するユーザー意識の向上訓練ができていないとしている。Phish Threatを導入した企業では、4回の訓練によってフィッシングメールのリンクをクリックするユーザーが減り、初回と比べて31%の改善が見られた」(足立氏)
今後は、同社エンドポイント製品と連携してセキュリティポリシーの設定を動的に更新するなど、機能拡張を実施予定。参考価格は、年間サブスクリプションで10ユーザーが4320円/ユーザー、100ユーザーは2620円/ユーザー(いずれも税別)。