サポート現場から標的型攻撃メール訓練をみる ~準備編~ 製品・サービスの活用方法

2018年9月29日

はじめに

私は、ユーザサポートをメインとしたサポートセンターにて、マネージャーをしています。

先日、社内で標的型攻撃メール訓練が実施されました。私は、社内のサポートを担当する立場として、メール配信後の問い合わせサポートを中心に対応しましたが、当日のサポートは、毎回、心臓がどきどきします。

それは、いろいろな思いを抱えてしまうからです。問い合わせが多く、対処が大変でサポートセンターがパンクしないか、従業員の現場で混乱が生じないか、また、サポートする立場として、従業員がどのような行動をとるのか、その場でしかみえないことにも神経を集中しないといけません。

また、標的型攻撃メール訓練を主催する側としては、従業員のリアルな反応を見るために、巧妙なメールを緻密に計画しているので、当然、従業員が無反応の結果に終わってしまうと、どうしても訓練を実施する意義を考えさせられます。上層部に報告した際に、「もう訓練は必要ないのでは?」と判断されることが不安だからです。

そんな思いを抱えながら、先日行ったメール訓練の開封率は?というと・・・

なんと、2.7%で、364名中10名しか開封者がいませんでした。

前回の開封率より、大幅に低い。この結果は良いことなのか、悪いことなのか?緻密に計画したのに、従業員は訓練メールに引っかからなかったのか、という思いからくる敗北感と、開封率が低いということは標的型攻撃メールに対する理解が進んでいると解釈して喜んでいいのか?と気持ちが交錯します。

また、従業員の反応がどうだったのか分かりづらいため、メール訓練の意義も分かりづらい。結局、今回の訓練は成功だったのかよく分からない。そんな気持ちに陥りました。

標的型攻撃メール訓練を実施されている方は、同じ思いをもたれたことはないでしょうか?

そこで私は、「標的型攻撃メール訓練は何をもって成功といえるのか?」を、考えてみました。

考えを進めるにあたり、以下のポイントを押さえる必要があります。

  • 標的型攻撃メール訓練についてしっかりと理解する
  • 訓練実施時のポイントを捉えて、毎回の訓練で心臓をどきどきさせない
  • 目先の結果で判断しない

このコラムで、改めて標的型攻撃メール訓練の基礎知識をつけるとともに、メール訓練を、「準備編」「当日編」「振り返り編」に分けて、それぞれのポイントをまとめ、その上で何が成功なのかをまとめました。

今回は、「準備編」を掲載します。是非、皆様のお役に立てればと思います。

そもそも標的型攻撃メールとは?

標的型攻撃とは、特定の組織や個人を狙って行なわれるサイバー攻撃のひとつで、狙いを定めた組織から、さまざまな手口で情報窃取を試みます。

電子メールを使った手口を標的型攻撃メールといい、被害者を誘うメールの文面とともに、マルウェアに誘導するURLの記載や、悪意あるファイルが添付されていたりします。

管理者や社内サポートの立場としては、従業員の「誰が」「いつ」狙われるか分からないリスクを常に抱えていますので、このリスクを減らすことが課題です。

標的型攻撃メール訓練の目的は?

標的型攻撃メールを受信しても、URLをクリックしない、添付ファイルを開かないことでマルウェアへの感染は防ぐことができます。また、誤ってマルウェアに感染したとしても、正しい初動対応を行うことで被害を最小限にすることもできます。

被害を最小限にするためには、従業員一人ひとりが標的型攻撃メールと気付き、正しい初動対応ができることが大切です。

標的型攻撃メール訓練は、従業員に標的型攻撃メールの受信を疑似体験していただくことで、正しい対応を身に着け、実際にメールを受信した際に、被害を最小限にすることを目的としています。

標的型攻撃メール訓練実施の流れ

訓練の流れや詳細については、以下の資料をご覧ください。

訓練を円滑に進めるためのポイント

自分自身心臓のどきどきを軽減し、訓練を円滑に進めるためには、事前の準備が重要になります。どういったことに気をつけるべきか、ポイントを以下にまとめました。
(1)訓練実施時期
  • 混乱を避けるため、繁忙期は避ける
  • メール自体を閲覧してもらうために、配信時刻は、よくメールを見る時間帯を選ぶ

実際の標的型攻撃メールは、繁忙期などの時期や時間帯に関わらず送信されるため、時期や時間帯は関係なく スケジュールを立てたいという思いもありますが、実際に受信した従業員は業務を停止して対応することになります。後で訓練と知った際には、訓練に対するクレームになることもあります。

実際、ある拠点に訓練メールを送信した際には、「大雨の災害における事後対応に追われている中で現場が混乱した」という声もありました。本物の攻撃を想定した訓練を実施すべきではありますが、訓練を受ける方々が落ち着いた状態で対応できるように、現場の状況に対する配慮も必要です。

(2)訓練対象者の範囲の決定

全社員が対象となるのが一般的ですが、より巧妙なメールで訓練をする場合は、対象を特定の部署に絞り、その部署でよくやり取りをされるメール文章を装って作成することもひとつの方法です。

また、業務経験の少ない新入社員に絞るなど、目的に沿って対象範囲を検討すると、より効果のある訓練ができます。

なお、訓練の回数を重ねていくと、正しい初動対応としてメールを受信した従業員から、不審なメールが届いていることを周囲の対象者に周知されるようになっていきます。初動対応の訓練を重要視する場合は、対象者間での情報共有は必要ですが、そうすると、周知された対象者は、メールを開封しないため、自身で標的型攻撃メールに気付くという機会がなくなります。このような場合は、自身で標的型攻撃メールに気付くという目的が満たされません。
各個人の意識を高めたい場合には、部署単位ではなく、ランダムに対象者を選んで訓練を行うのもひとつの方法です。

(3)メール本文

訓練対象者によってメール本文は変わります。
全社員向けであれば、社内関係者を装ったメールなど、全社員に関係があると思うメールを、社外とのやり取りの多い部署であれば、社外からの製品問い合わせの内容にするなど検討するとよいでしょう。

訓練の回数が増えるにしたがって、より業務に即した内容を検討するなど、訓練の回数、対象者に沿った内容を選ぶことがポイントです。

以下にメールの一例を示します。

メール例
  • 社内関係者を装ったメール
  • 社外からの製品問い合わせメール
  • 業務に即したメール

上記(1)~(3)については一般的なポイントとなりますが、これらに加えて、次の2点も事前準備のポイントとして準備しておく必要があります。

(4)従業員向けの初動対応手順の整備

標的型攻撃メールを受信した後の取り扱いやエスカレーション手順などの、初動の対応手順を整備していますか?

していない場合、情報が1箇所に集まらず、実際の被害状況が把握できなくなります。そのため、訓練実施の前に初動の対応手順を整備して周知しておく必要があります。

訓練の際には、対応手順に基づいてきちんと対処をしているかを測ることも対応の成熟度の指標となります。

実際に、当社で初めて訓練をした際には、「どこに報告したらいいか分からないので、とりあえずサポートセンターに電話しました」という問い合わせも発生していました。

訓練の際に、対応手順をお伝えすることで、今後、正しい初動対応ができますので、対応手順が整備されてない場合は、訓練実施前に併せて準備することをお勧めします。

(5)関連部署への事前案内と当日の対応手順の準備

標的型攻撃メールを受信した際に、従業員のとるべき行動として、上長やセキュリティインシデントのエスカレーション先となるしかるべき部門への報告があります。

エスカレーション部門としては、情報システム部門や品質管理部門、CSIRT、サポートセンターなどが挙げられます。これらの部門は、実際にインシデントに対処する部門なので、事前の準備が不十分な場合、当日の対応において混乱を招くおそれがあります。

訓練メールに添付したファイルのコンテンツには、「訓練ですので報告は不要です」という一文を入れておくと開封者からの問い合わせを減らすことができます。しかしながら、添付ファイルを開封していない方からの問い合わせは必ず発生しますので、混乱を避け、訓練にご協力いただくために、エスカレーション部門に対しては、訓練を実施することをあらかじめ伝えておく必要があります。

問い合わせとして、「不審メールが届いた、どうすればいいですか?」「添付ファイルを開いてしまいました」など、対応方法についての質問が集中します。訓練ではありますが、エスカレーション先の部門の方々が異なる回答をしたり、「それは訓練なので大丈夫」と伝えてしまうと、「なにもしなくていいの?」「なんだ、訓練か」という反応になり、本来の目的である、標的型攻撃メールに対する従業員の感度が上がらなくなる可能性があります。

そのため、エスカレーション先の部門も、実際の対応フローに沿った問い合わせの対応手順をあらかじめ準備しておく必要があります。


以上が事前準備のポイントです。

次回は、実際の訓練の当日の状況と円滑に進めるためのポイントを解説します。

著者プロフィール

篠 知佐

2012年より、社内外の問い合わせサポートを中心とするサポートセンターにてマネージャーに従事。ユーザの気持ちに寄り添い、よりよいサポートを目指す。
社内の標的型攻撃メール訓練では、サポート側として対応し、さまざまな生の声を収集、日々改善活動に奮闘。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ