それでも社員は危険なメールを開く ― 社員向けセキュリティ教育のすすめ

かつては大企業をターゲットに計画的に攻撃を仕掛けるケースが一般的でした。しかし今ではサイバー攻撃がビジネス化し、セキュリティ対策が不十分な組織を無差別に狙う手法へと変化しています。具体的には、メールに情報窃取型のマルウェアを仕込み、認証情報（IDやパスワード）を奪取する手口や、VPNやRDP（リモートデスクトップ）の脆弱性を突いて侵入する手口などが増えています。
さらに、ダークウェブ上で売買されている認証情報が攻撃に利用されることも多く、「どんな会社であっても攻撃を受ける可能性がある」という状況です。

かつては大企業をターゲットに計画的に攻撃を仕掛けるケースが一般的でした。しかし今ではサイバー攻撃がビジネス化し、セキュリティ対策が不十分な組織を無差別に狙う手法へと変化しています。具体的には、メールに情報窃取型のマルウェアを仕込み、認証情報（IDやパスワード）を奪取する手口や、VPNやRDP（リモートデスクトップ）の脆弱性を突いて侵入する手口などが増えています。
さらに、ダークウェブ上で売買されている認証情報が攻撃に利用されることも多く、「どんな会社であっても攻撃を受ける可能性がある」という状況です。

ISOなどをベースにした情報セキュリティ規程が定められている組織では「守るべきルール」を社員が理解し、日々の業務で実践することが重要です。どれだけ優れた規程を作っても、現場の社員に浸透しなければ意味がありません。

一般社員が最も受けやすいサイバー攻撃の入り口はメールです。IPAが定義する「日常における情報セキュリティ対策」8項目の中でも、「不審なメールに注意する」ことは非常に重要とされています。

他の対策（OSやソフトウェアの修正プログラム適用、セキュリティソフトの導入など）はシステム部門による管理で、ある程度カバーできますが、「最終的に開いてしまうかどうか」は社員一人ひとりの意識に依存しています。そこに教育が不可欠というわけです。

最も多い侵入経路は、VPN機器やRDPの脆弱性を突く方法です。しかしその背後には、メールによる認証情報の窃取があるケースも多いことを認識しておく必要があります。

リサーチ専門の攻撃グループが情報窃取型マルウェアを使って認証情報を集め、それをダークウェブで売り、別のグループが実行役としてランサムウェアを拡散させる――。こうしたビジネスモデル化が進んでいるため、メール経由で情報を抜かれるリスクを減らすことは不可欠です。

そのリスク軽減のために行うべき訓練。特に標的型攻撃メール※訓練について、ここからはご紹介します。

※標的型攻撃メールとは、特定の対象を標的に、機密情報などを盗む目的で送信されるメールのこと。

1つ目の目的は、標的型攻撃メールを“開封する確率”を下げることです。本物そっくりのメールを見抜く力を身につけることで、不審なメールを開かないようにする狙いがあります。
2つ目の目的は、万が一開封してしまった場合の被害拡大を防ぐことです。実際のマルウェア感染時の初動対応――たとえば担当部門への迅速な報告ができるかどうか――によって被害の大きさが変わるため、報告フローの周知や実践が求められます。

東京商工会議所が出している統計データによると、年1回のメール訓練を行うことで、初回25.4%だった開封率が5回目には7.8%まで下がったという結果があります。これは、教育と訓練を継続することでリスクを1/3程度に減らせることを示しています。

マルウェアが仕込まれているメールを開いてしまった場合、組織内でのインシデント報告フローが重要です。たとえば「当事者 → 部門長 → 不在ならシステム管理者へ」など、明確な連絡経路を事前に定めておくことで、素早く被害を食い止めることができます。

メール訓練では、この報告フローを実体験してもらう機会として活用可能です。ちょっとした違和感を感じたらすぐ報告する文化が定着すれば、ステルス的な攻撃にも早期に気付ける可能性が高まります。

まず、「どのような目的をもって訓練をするのか」を明確化することを重要視しています。定量的な目標設定・計測がないと、訓練が「やった気がする」だけで終わりかねないからです。成果を追う訓練という観点でいえば、目標設定は欠かせません。具体的には以下のような数字を個別に設定します。

このように、組織の現状を踏まえて目的設定を行い、教育訓練を計画・実施するのが重要です。私たちはこうした「目的・目標設定」のサポートを強みとしています。では、ここからはメール訓練の具体的な進め方と考え方です。

訓練で使うメールは、実際に社員が引っかかりやすい内容をシミュレーションします。
たとえば、

営業の担当者であれば、取引先へのメールが送られているかいないかが気になって添付ファイルを開封してしまうかもしれません。また人事を装ったメールなど、各部門が興味を持ちそうな内容で送ることで実態に近い訓練が可能です。過去の訓練データがあれば、同じ手口を繰り返さないように年度ごとにシナリオを変えていくことも効果的です。

当社では40種類以上のサンプルが用意されており、それらをベースに「今年はこれでやってみましょう」といった形で設計します。

訓練でメールを開封した社員には、「実は訓練でした」という種明かしメールを自動的に送る手法がおすすめです。そこで不審メールを疑うポイントを解説することで、教育の機会にできます。

また、報告率（不審メールをセキュリティ担当窓口に報告できるか）も重要な指標となります。訓練メールを敢えて怪しい画面に飛ばし、「感染してしまったかも？」と社員に思わせたうえで報告するかどうかを測る方法もあります。

メール訓練だけの場合、「開封した人」はその危険性が強く伝わりますが、「開封しなかった人」には伝わりづらいというデメリットがあります。そこで、社内規定の周知やセキュリティ意識の徹底を図るために、セキュリティ講習もセットで実施することを推奨しています。

講習を受けた直後に理解度テストを行うことで、定着度をさらに高めることができます。

最終的には、年間計画を立てて「どのレベルを目指すか」「どこまでが目標か」を明確にし、教育を実施することが重要です。

• 経営層へのセキュリティ教育

• 一般社員への継続的なメール訓練と講習

• システム担当者・エンジニアへの専門教育

我々はこれらを組み合わせ、組織全体のセキュリティレベルを底上げするように支援をしております。

ただ、多くの企業が直面しているそもそもの問題として、「セキュリティが他人ごとになっている」という点があります。社員自身が「自分には関係ない」と思ってしまうと、いつまで経っても行動が変わりません。そこで行うべきが「自分ごと化」です。

まず、「自分ごと化」を考えるにあたって、世の中のニュース（世の中ごと）と仲間からの影響（仲間ごと）の2つの側面を理解する必要があります。