2018年06月22日 05時00分 公開
特集/連載

だまされないための訓練「メールフィッシングテスト」の効果を上げる7つの要素

フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。

[Kevin Beaver,TechTarget]
IT部門が自らフィッシング詐欺メールを作成してみることで組織のリスクが明らかになる《クリックで拡大》

 最高度に強力な2要素認証、次世代ファイアウォール、最新のマルウェア対策またはWebコンテンツフィルタリングシステムを利用していても、ユーザーがフィッシングメールであることを見破って回避する方法を知らないと、組織の情報が漏えいする可能性がある。

 フィッシング詐欺メールはサイバー攻撃の一種で、スパムメールを信頼のおける発信元からのメールに偽装し、安全でないサイトのリンクへのクリックを誘導するものだ。これは、企業内では極めて危険な攻撃ベクトルだ。フィッシング詐欺は、組織内の全てのユーザーが対象となり得るので、そのセキュリティ対策は、ユーザーがフィッシング詐欺による脅威を阻止するために何に注意を払うべきか、その理解に依存している。

 ユーザーと経営幹部からの注意を引く最善の方法は、とにかくフィッシング詐欺がいかに簡単に成功するかを実証してみせることだ。そのためには、IT部門がフィッシングテストを計画する必要がある。フィッシングテストでは、IT部門が自らフィッシング詐欺メールを作成し、時間をかけて計画を実行する。

効果的なメールフィッシングテストとは?

1. 経営幹部の同意

 組織の上層部は、メールフィッシングテストの重要性を理解し、自ら進んで、そのテストの対象となることを受け入れる必要がある。

2. 全てのユーザーをテスト

 IT部門内でのみ実施するフィッシングテストは、どうあっても成功する可能性はない。組織幹部が関わる必要があるのだ。人事部や法務部などの部門についても同様だ。例外はない。誰もが攻撃の格好の標的となるので、IT部門のフィッシングテストについても何ら違いを作るべきではない。

3. クリックした先まで

 昔流のフィッシング詐欺メールでは、ユーザーにオンラインバンキングや電子商取引のリンクをクリックさせており、比較的簡単に模倣することができる。しかしながら、今日のフィッシング詐欺では、クリックすることを通して確認するテストだけでは不十分だ。より手の込んだフィッシング攻撃に対してユーザーに心の準備をさせるためには、テストを深く掘り下げてユーザーをけしかけて、ネットワークログイン認証情報などの機密情報を要求する必要がある。

4. ヒントを与える

注目テーマ

ITmedia マーケティング新着記事

news117.jpg

三越伊勢丹、中国小売業最大手の京東(ジンドン)と越境ECで戦略的業務提携
三越伊勢丹は中国小売業最大手の京東と越境ECで戦略的業務提携することに合意。京東が展...

news014.jpg

御社にもできる営業改革、効率化の余地を発見する5つの質問
今回のテーマは中小企業の営業改革です。HubSpotの顧客管理や営業支援機能の活用法を紹介...

news015.jpg

Pinterestユーザーが探している「生活を豊かにするアイデア」とは?
画像共有サービスの「Pinterest」でユーザーが探している「ライフスタイルをより豊かにす...