社員が退職する際、会社内のアカウントの引き継ぎはスム
フィッシング詐欺は、あらゆる形態や規模の企業が真剣に考えるべき問題です。避けられないフィッシング攻撃から会社を守る最良の方法は、事前に対策することです。従業員を教育し、フィッシングテストを実施することにより、従業員が確実にフィッシング攻撃に気付けるようになります。
フィッシング詐欺テストを成功させるには、まずフィッシングツールを探し、テストを設計し、結果を分析する必要があります。当ガイドでは、従業員が実際のフィッシング詐欺に巻き込まれる前に攻撃を見破れるよう、職場環境でフィッシングテストを実施する方法について説明します。
フィッシングとは?
フィッシングとは、被害者が知っている信頼できる機関になりすまし、機密情報を取得しようとするサイバー攻撃の一種です。フィッシング攻撃はメールやテキストメッセージなどで行われ、被害者を迅速に行動させるために、緊急性のある文言が含まれていることも多くあります。
例として、受信トレイに、銀行口座の更新に関するメールがChase銀行から来ていたとします。メールは重要と思われ、内容も通常Chase銀行から受信するものと同様に見えるため、あなたはリンクをクリックしてしまいます。しかし、そのリンクは悪意のあるもので、あなたを詐欺サイトに誘導します。詐欺サイトとは、外見は合法的に見えるよう作成されていながら、実際にはそうではないサイトのことです。一度ログイン情報をこのサイトに入力してしまうと、知らぬ間に攻撃者にクレデンシャルを渡すことになります。攻撃者は、あなたが正規のChase銀行口座にログインするのに必要なすべての情報を取得します。
職場では上司からのメールや、通常とは異なるドメインの同僚からのメールといった形でフィッシングメールが送信される可能性があります。通常、攻撃者はメールで機密情報の提供を要求し、そこから得た情報を使って企業から盗んだり、何らかの形で損害を与えたりします。
フィッシング詐欺テストとは?
フィッシング詐欺テストとは、企業が従業員に対して現実的かつシミュレートされたフィッシングメールを送信し、従業員の反応の仕方を見ることができるプログラムです。これらのフィッシングテストによって、企業は従業員がフィッシング攻撃にどう対処するかを確認したり、攻撃を受けた場合はフィッシングトレーニングを提供したりすることができます。シミュレートされたフィッシング攻撃を送信し、実際に攻撃を受けた場合のより正確な見分け方を従業員に学習させることは、長期的な観点では、企業を守ることにつながります。
従業員のフィッシング詐欺テストへの準備方法
フィッシング詐欺テストを管理する前に、テストを実行するにあたり実行可能なフィッシングツールを見つける必要があります。Gophish のような無料のオープンソースのものを含め、多くのものが利用可能です。また、KnowBe4 や Infoseck IQといった商用製品の使用をを検討してもよいでしょう。
ツールが決まったら従業員に通知し、訓練を開始します。最終的な目標はフィッシングの危険性を教育し、従業員のパフォーマンスをテストすることです。
テストの件を通知せずにテストを実行すると、従業員からの信頼を失い、従業員がIT 部署に軽蔑されているように感じてしまうというリスクを負います。しかし、従業員に事前に通知してから訓練を行えば、従業員が恥じたり驚いたりするような失敗ではなく、貴重な学習体験としてとらえる可能性が高まります。
また、テストのパラメーターを設定するために、マネージャーや部署のリーダーを連携させる必要もあります。多くのフィッシング詐欺師は、同僚やマネージャーを装うなどソーシャルエンジニアリング戦術を使用して、ターゲットを騙す可能性を高めます。そのため、通常は部署のリーダーと協力して、実際の攻撃者のように特定の従業員を標的にする方法を把握するのが良いでしょう。
従業員がフィッシング攻撃をどのように報告できるかを明確にすることが重要です。例えば、該当メールを IT 部署に転送すべきなのか?マネージャーに報告すべきなのか?従業員はワークフローに影響しないようにメールを報告する傾向があるため、報告プロセスを可能な限り苦にならないようにする必要があります。報告プロセスはツールごとに異なるため、会社のフィッシングツールを選択する前に、そのことを念頭に置くようにしてください。
フィッシングテストの設計方法
すべての下準備が終わったら、テスト期間、テストするフィッシング詐欺の内容、テスト対象となるメトリクス、誰を対象にするのか、といった詳細を詰め始めます。
企業には常に訓練とテストを必要とする新入社員が参加するため、最も洞察力のあるフィッシングテストは永続的に続きます。新しく入社する新人は、月一回送られるテンプレートで作成されたことが明確な偽フィッシングメールに始まり、同僚から送られたように偽装されたメールに代表されるソーシャルエンジニアリング攻撃へとエスカレートしていきます。時間をかけて構築していくことで、従業員がすぐに失敗しても落胆せず、徐々に自信をつけていくことができます。
テストを始める前に、使用するフィッシング攻撃の種類をチームで決定することが重要です。例えば、スピアフィッシングで特定の個人をターゲットにするのか?CEO や他の経営幹部を狙うホエールフィッシングにするのか?クローンフィッシングも行うのか?通常は複数のフィッシング攻撃を使用し、チームメンバーが各自を認識する能力をテストします。
テスト中に起こったことを正確に測定し解釈するには、監視するメトリクスを選択する必要があります。一般的に、以下の 3 つのメトリクスを追跡します。
● フィッシング攻撃やデータ漏洩の被害に遭う従業員の数
● フィッシング攻撃を認識し、報告することに成功した従業員の数
● リンクのクリック率
テストを実施する際は、上級マネージャーや幹部、さらには取締役会メンバーを含めることを忘れないでください。これらの上層チームメンバーはフィッシング攻撃の最大のターゲットになりやすいため、同様に備えておく必要があります。
テストの設計詳細がすべて決まったら開始します。ここで最も重要なことは、実装スケジュールを秘密にしておくことです。従業員にスケジュールを知られてしまうと、フィッシングメールが来ることを想定してしまうため、テスト結果に悪影響を及ぼします。
フィッシングテストの結果が出た後の対処方法
テストが終わっても、これで終わりではありません。テストが完了したら、データを確認し、会社のパフォーマンスを確認します。
まずは期待された目標を達成したか、時間経過とともに、フィッシングメールに巻き込まれる従業員の数が減少したかを見極める必要があります。リンクのクリック率は低下したか?不審なメールを報告した従業員数は増加したか?
すべてのデータを確認したら、今後どのように進めていくかを決めます。一般的には、改善が必要な箇所を誰もが把握できるように結果を発表するのが良いでしょう。しかし、特定の部署や従業員については公表しないようにすることが重要です。
必然的に一部の従業員のパフォーマンスが低いことが判明するため、機転と理解をもってアプローチすることが重要です。テストは学習体験を目的としているため、パフォーマンスが低い従業員に対して無礼な態度や見下した態度をとる理由はありません。とはいえ、改善できるように追加トレーニングを提供したいとお考えでしょう。ほとんどのフィッシングツールには、必要に応じてフィッシングトレーニングを管理するオプションがあります。
まとめ:サイバーセキュリティ強化は従業員から始まる
フィッシング詐欺テストの実行は、サイバーセキュリティというより、大きなパズルのほんの1ピースにすぎません。長期にわたる企業の安全確保には、定期的なトレーニングと継続的なテストイニシアチブにより、サイバーセキュリティをすべての人の心に留めておくことが不可欠です。
さらに、特権アクセス管理を実装し、従業員にパスワードマネージャーの使用を要求することで、社内の他の部署のセキュリティをアップグレードすることにも役立ちます。パスワードマネージャーは、従業員が安全安心なパスワードを簡単に維持するのを支援し、一般的なパスワード攻撃から会社を守ります。さらに、フィッシングサイトからの偽URLではなく、直接一致する URL上でのみパスワードが自動入力されるため、フィッシング攻撃から直接保護されます。
また従業員の教育だけでなく、Keeperのようなパスワード管理ソリューションを導入することで、さらに企業のセキュリティを強化できます。
Keeper の中小企業向けおよびエンタープライズ向けのパスワード管理ソリューションは、世界中の何千もの企業がパスワードリストなどのサイバー攻撃に遭うのを防ぎ、生産性を向上させて、コンプライアンスを強化するのに役立っています。
この機会にKeeperパスワードマネージャーの14日間のビジネスアカウント無料体験を試してみてはいかがでしょうか。