2008年度ITセキュリティ予防接種実施調査報告書を公表（JPCERT/CC）

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は6月19日、2008年度の「ITセキュリティ予防接種実施調査報告書」を公表した。

　ITセキュリティ予防接種とは、被験者に対して擬似標的型メール攻撃を行い、ユーザーの意識向上を図る情報セキュリティ教育の一手法。JPCERT/CCではこれを利用した実施調査を2006年度より定期的に行っており、2008年度はその効果を定量的に裏付けるなどの目的で、14の協力企業、延べ約2,600人という、より幅広い業種、多くの被験者に対して予防接種を実施した。

　発表によると、予防接種メールの添付ファイル開封率は、初回が45.4％、2回目が14.0％で、ほとんどの場合において2回目の開封率が初回と比較して大幅に減少することが確認され、予防接種の効果があることが実証された。また、年齢や勤続年数などの個人属性と、予防接種メールの開封率や学習効果になんらかの関係があるという仮説を立て分析してみたが、属性による開封率に顕著な違いは見られなかった。このことから、入社30年のベテランや経験豊富なエンジニアも、入社1〜3年の新人と同じく被害に遭う可能性があるとしている。

　実施企業の多くでは、ISMSや社内規程により情報セキュリティ上の問題を報告する窓口が設定されていたが、予防接種メールを受信した時に定められた窓口に報告をおこなったユーザーが少ないことも分かった。アンケート結果から、多くの被験者は正規の窓口ではなく、近くのITに詳しい同僚に相談したものと推定されており、報告手段について組織内に周知徹底をすることの重要性が改めて確認された。こうした結果を踏まえJPCERT/CCでは、予防接種を実施することで、標的型メール攻撃に対する警戒心を喚起し、標的型メールを見分けるスキルを獲得させることを通じて、被害を低減することができると結論している。

http://www.jpcert.or.jp/research/index.html#inoculation