サイバー攻撃演習の効果を日常で生かす方法は? セキュリティ意識の向上に必要なのは「賞賛」
メール訓練の効力を下げる「2つの理由」
警察庁が2024年3月に公開したレポート*によれば、23年のランサムウェア被害は前年比で14.3%減ったものの高水準で推移。フィッシングは119万6390件と過去最多だった。24年も大企業が次々に被害を公表するなど、サイバー攻撃の脅威は続いている。その背景について、クラウドセキュリティサービス「HENNGE One」を提供するHENNGEの稲垣美菜子氏は次のように説明する。
*警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
「デジタル化の進展で、メールやSMSでのやり取りが増加しています。さらにはリモートワークの普及によって、外部からの社内ネットワークへのアクセスも増えました。攻撃者にとっては、企業の社内情報へのタッチポイントが多くなったといえます」
Product Planning & Research Division
稲垣 美菜子氏
攻撃者にしてみれば、標的が広がっている状況というわけだ。「その結果、身代金を要求するランサムウェア攻撃などで獲得した利益を再投資して組織が拡大し、攻撃の手数が増える。さらに攻撃を繰り返し、攻撃パターンが確立されてきたことが被害件数の高止まりにつながっているのでは」と稲垣氏は分析する。
その攻撃パターンの1つが、フィッシングや標的型攻撃メールなどのメール攻撃である。添付ファイルやURLをクリックすると、ランサムウェアなどのマルウェア感染を引き起こす。こうした手口による攻撃が猛威を振るっていることから、メールを受信する従業員がセキュリティ意識を高め、適切に対処できるようメール訓練を実施している企業が増えている。
しかし、メール訓練を繰り返しても効果が出ない、効果が出ているのかわからないと悩む企業も少なくない。メール訓練をしていたにもかかわらず、被害に遭った企業も一定数あると推測される。最近は攻撃メールも巧妙化し、一見して不審な点が見つかりにくいものが多いのも事実だが、なぜ訓練の効果が生きないのか。稲垣氏が挙げる理由は2つだ。
「1つは、訓練結果の解像度が低いことです。メール訓練の大きな目的は、『不審なメールの添付ファイルやURLをクリックしない』『クリックの有無にかかわらず管理者に報告する』の2つの行動を身に付けることにありますが、クリック率の低減だけを目指しているケースが多いのです。
クリックしなかった層の中にはメールを開いてクリックしなかった人もいれば、そもそもメールを開いていなかった人もいて、クリックしなかった背景はさまざまです。その要因分析ができていないと、訓練合格者の中に『実はリスクの高い人』が含まれているという可能性を放置してしまうことになります」
クリック率だけの測定でクリックしなかった層を最大化することは、つまりリスクを内包している可能性のある「グレーゾーン」を拡大させることと同義となり、結果、本来の目的と逆行してしまうのだ。
「もう1つの理由は、運用が定着していないことです。訓練時はどうしても強制力が働くので、『再訓練になりたくない』『上司や管理者に目をつけられたくない』といった心理から一時的に危機意識は上昇し、不審なメールを見つけたら報告もします。
しかし、訓練をクリアすることがゴールになっていては意味がありません。訓練外で再現できないと、不審なメールに気づいても『報告するのは面倒』『報告してもし問題ないメールだったら恥ずかしいし、情報システム部に負担をかけてしまうかもしれない』と放置してしまいかねず、その結果インシデントの発生につながるおそれもあります」
報告を定着させるのは「注意」ではなく「賞賛」
日常での運用を視野に入れたメール訓練をしないと、「訓練のときだけしか対応できない会社」になってしまう。では、日常での運用につながる訓練にはどんな要素が必要なのだろうか。
「まず、クリック率に加え『報告率』も指標として計測することです。クリックの有無だけでなく、不審なメールに気づけたか、それを管理者に報告できたかどうかを明らかにすることで、従業員のリスクレベルが判断できます」
加えて、従業員側に「心理的ハードル」が存在していることも意識すべきだという。
「訓練でよくあるのが、『不合格者は再訓練になるので、全員合格するように』という管理職の声がけです。何げなく言っているつもりでも、従業員にしてみれば心理的ハードルとなります。
また、不審なメールを報告するように通達しても、どこのアドレスに転送すればいいのか覚えていなかったり、『まったく問題ないメールだったのに、まだわからないのか』と思われるのを恐れたりする気持ちも、報告文化の定着を妨げてしまいます」
このハードルを生むのは「注意の文化」だと稲垣氏は指摘する。注意されているときは気をつけるが、そうではないときは気が緩んだり、報告をためらったりする。訓練の場合、この文化だと不合格者を最小にするための締め付けをすることになる。
「それだと訓練でしか役に立ちません。訓練の本来の目的は、セキュリティ意識を身に付け、日常でも『不審なメールをクリックしない』『不審なメールを見つけたら報告する』を当たり前にできるようにすることです。心理的なハードルでブレーキをかけないようにするためには、報告者をたたえてモチベーションを高める『賞賛の文化』をつくることと、簡便な報告フローを構築することが重要です」
簡単アドオンが「報告」の心理的安全性を確保
この「賞賛の文化」と簡便な報告フローの確立を後押しするのが、HENNGEが新たに開発した標的型攻撃メール訓練サービス「Tadrill(タドリル)」だ。同名のプロダクトを2022年にリリースしているが、サイバー攻撃の高度化・激化や企業のメール訓練の課題を踏まえて全面的にアップデート。24年7月に「HENNGE One」の新製品としてリリースされた。
「Tadrillは、訓練外でも報告を定着させることを目指して設計しています。最大の特徴は、簡単に報告できるアドオン機能を搭載していることです。訓練の結果は、クリック率×報告有無の4象限で集計でき、リスクのある層の把握や最小化に活用できます。訓練メールだけでなく、通常時のメールにも対応し、『不審なメールはすぐ報告』という習慣が定着しやすくなります」
情シスなどの管理者側も、訓練と平時の不審なメールを一元管理できるようになっているため手間を抑えられる。さらに、メール訓練サービスには送信できる通数や訓練回数が制限されているものもあるが、Tadrillは無制限。訓練用メールの予約配信もできるほか、対象となる部署や従業員を自由に設定できるので、柔軟に訓練を行いやすい。
メール文面のテンプレートも用意しており、直感的なUIで作成できる。メール訓練を自社で実施する際にはコストや人員などのリソースをいかに確保するかも大きな問題だが、その点もクリアしやすい設計になっているという。
管理者用のダッシュボード。Tadrillはわかりやすく操作のしやすい画面やUI設計が特徴だ
メール訓練のカギは「報告」の定着にありそうだ。いくら訓練を繰り返しても本番、つまり日常で効果を発揮できなければ意味がない。メール訓練を実施しているが定着していない、より本質的なメール訓練を実施し全社のセキュリティ体質を強化したいと考える企業に、Tadrillは力になってくれるだろう。
「セキュリティ対策は直接的な経済的利益をもたらすものではありませんが、企業が健全に存在し続けるためには欠かせない取り組みです。粘り強く継続していく必要がありますが、Tadrillをはじめとした当社の使いやすく手間のかからない製品を通じて、少しでも『これならやれる』と感じていただき、自社のグロースに集中できる環境づくりのお手伝いができれば幸いです」
