「標的型攻撃メール訓練」とは、企業や組織の従業員に対して、実際に使われるような巧妙なサイバー攻撃メールを模倣したメールを送信し、従業員がどのように反応するかをテストする訓練のことです。

主な目的は以下の通りです。

  • 従業員のセキュリティ意識向上
    • 標的型攻撃メールの危険性を認識させ、見分け方を学ぶ機会を提供します。
    • 「自分には関係ない」という意識をなくし、セキュリティを自分事として捉える意識を高めます。
  • 情報セキュリティ対策の強化
    • 従業員が不審なメールを受信した際の対応手順(報告体制など)を再確認させ、徹底を促します。
    • 万が一、メールを開封したり、添付ファイルを開いてしまったりした場合の初動対応能力を向上させ、被害を最小限に抑えることを目指します。
  • 組織のセキュリティレベルの可視化
    • 訓練を通じて、従業員の開封率やURLクリック率などを把握し、組織全体のセキュリティ意識や弱点を把握することができます。
    • これにより、今後のセキュリティ教育や対策の方向性を検討するためのデータを得られます。

メール訓練の大まかな流れ

  1. 環境の事前確認
    • 標的型攻撃メール訓練ができる環境であるかを確認します。
  2. 訓練メールの作成
    • お客様の社内状況をヒアリングしながら、実際の攻撃者が使うような、件名や差出人、内容などが巧妙に偽装されたメールを作成します。
  3. メールの送信
    • 訓練対象の従業員に、作成した模擬メールを送信します。
  4. 観測
    • 従業員がメールを開封したか、URLをクリックしたか、添付ファイルを開いたかなどの行動を一定期間観測します。
  5. 結果のフィードバックと教育
    • 訓練の観測結果を報告します。
    • メールを開封してしまった従業員に対しては、なぜそのメールが危険だったのか、今後どのように対応すべきかといった教育コンテンツを提供し、セキュリティ意識の改善を促します。