疑似スパムメールを用いた、官庁でのセキュリティ模擬訓練の結果と傾向(1)「本当のウイルスを見せて試してみたい」
アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ち
特集
特集
情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。
本サービスの概要や、某中央官庁で4年間にわたって実施されたという具体的な訓練結果について、アイエックス・ナレッジ株式会社 事業統轄本部 主任研究員の高濱 祐さん、同研究員 岩野 智昭さんのお2人に、SCAN編集部が話を聞く。
アイエックス・ナレッジ株式会社
http://www.ikic.co.jp/
──
SCAN編集部(以下SCAN):
ではまず最初に「メル訓」のサービスの内容を教えて下さい。
アイエックス・ナレッジ社(以下 IKI ):
「メル訓」は、社員のみなさまに内緒で、ウイルスメールなどを模した訓練用のメールを送信し、うっかりファイルを開いてしまった人に向けてセキュリティ啓発を促すメッセージなどを表示したり、その開封状況を調査分析し、報告書などを提出するサービスです。
SCAN:
訓練用のメールはウイルスを模したものだけですか?
IKI :
最近の巧妙化するメールによる攻撃の状況に対応して、大きく分けて下記の3つのカテゴリの訓練メールを準備しています。
(1)ウイルスメール(添付ファイルをクリックさせるタイプ等)
(2)スパムメール(懸賞やアダルト、転職などを誘うタイプ等)
(3)スピア型攻撃メール(フィッシングや詐欺、ビジネス絡みのメール)
もちろん全て模擬メールで、実際のウイルス等は一切含まれていません。
まずこれらのメールを、社員や職員の調査対象の方向けに配信します…
【取材/文:SCAN編集部】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》
