コラムアーカイブ

企業や組織に対するメールを介した攻撃（攻撃メール）は、標的型攻撃メールが話題になった約10年前から現在までの間で変化しています。例えば、特定の企業や組織を狙った標的型攻撃メールはもちろん、「Emotet」やランサムウェアに感染させるウイルスを広くばらまくメール、企業が利用するクラウドサービスの認証情報の窃取を狙うフィッシング、取引先になりすまして金銭を振り込ませるビジネスメール詐欺（BEC）など、さまざまあります。IPA「情報セキュリティ10大脅威」でもメールに関連する脅威が多く取り上げられています。

サイバー攻撃にメールが多用されている現状を背景に、日本シーサート協議会が「メール訓練手順書」を公開しました。メール訓練の成果が不明確、マンネリ化している、また、これからメール訓練の導入を検討している企業などに、本手引書が参考になればという思いで公開したとのことです。

「メール訓練手引書」は、日本シーサート協議会加盟組織にアンケートを取った結果を整理して、メール訓練のノウハウが手引きとしてまとめられています。メール訓練の目的や評価方法など参考になる情報が記載されています。

メール訓練の実施状況は企業や組織によってさまざまです。毎年実施している場合もあるでしょうし、マンネリ化して効果がわからずやめる場合もあるでしょう。企業や組織に届く攻撃メールやインシデントの動向によってメール訓練の必要性が低下したり、予算などの事情から優先順位が低くなったりして、実施意義の説明に苦慮する場合もあるでしょう。

この「メール訓練手引書」を参考に、自社・自組織のメール訓練の意義や目的を再考してみてはいかがでしょうか？

「メール訓練手引書」から目的に関連する内容を抜粋します。以下は日本シーサート協議会加盟の組織で実際に設定されている訓練の目的です。

〇訓練目的
・リテラシー教育の一環として
・不審メールの開封率を下げるため
・セキュリティ意識向上のため
・開封後の初動を確認するため
・インシデント通報の定着のため
・攻撃メールに対する耐性を高めるため
・不審メールが増えていることを定期的に気付かせるため
・開封率の特に高い組織や人を特定するため

「メール手引書」には、上記の他に、具体的な評価方法、数値化、社内規定の見直し、従業員への配慮点、成熟度の考え方、委託する場合の観点など、さまざまな内容についても触れられています。ぜひ効果あるメール訓練のための参考のひとつにしてみてください。

参考：

日本シーサート協議会「メール訓練手法検討サブ WG の活動概要」
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html

IPA「情報セキュリティ10大脅威2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

NISC「インターネットの安全・安心ハンドブック Ver 4.20」
https://security-portal.nisc.go.jp/handbook/