【セキュリティ魂】擬似スパムで抜き打ち検査!あなたも危ない"人間"脆弱性診断
2007年07月23日10時00分 / 提供:ネットセキュリティ
アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ちで行う、火災などの避難訓練の、情報セキュリティ版と言ってもいいだろう。
情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。
本サービスの概要や、某中央官庁で4年間にわたって実施されたという具体的な訓練結果について、アイエックス・ナレッジ株式会社 事業統轄本部 主任研究員の高濱 祐さん、同研究員 岩野 智昭さんのお2人に、SCAN編集部が話を聞く。
アイエックス・ナレッジ社(以下 IKI):「メル訓」は、社員のみなさまに内緒で、ウイルスメールなどを模した訓練用のメールを送信し、うっかりファイルを開いてしまった人に向けてセキュリティ啓発を促すメッセージなどを表示したり、その開封状況を調査分析し、報告書などを提出するサービスです。
SCAN:訓練用のメールはウイルスを模したものだけですか?
IKI :最近の巧妙化するメールによる攻撃の状況に対応して、大きく分けて下記の3つのカテゴリの訓練メールを準備しています。
(1)ウイルスメール(添付ファイルをクリックさせるタイプ等)
(2)スパムメール(懸賞やアダルト、転職などを誘うタイプ等)
(3)スピア型攻撃メール(フィッシングや詐欺、ビジネス絡みのメール)
もちろん全て模擬メールで、実際のウイルス等は一切含まれていません。
まずこれらのメールを、社員や職員の調査対象の方向けに配信します。そして、訓練メールの添付ファイルを開いたり、訓練メール本文のリンクをクリックしたりすると、訓練対象者のパソコンの画面上に警告メッセージが表示されます。警告メッセージにより、何か問題があったことが一目でわかりますので、訓練対象者のセキュリティリテラシーの向上を図ることができます。
同時に、訓練用メールを開封したり、添付ファイルを開いた人や時間を記録し、集計することができます。
たとえば部署ごとに開封の比率を出すことで、組織全体のセキュリティ対策の徹底度などを知ることができます。
SCAN:「メル訓」はアイエックス・ナレッジ社が商品企画したのですか?
IKI :いいえ。そもそもの始まりは弊社のクライアントの某中央官庁様が、職員の皆様に対して「実際のウイルスメールを見せたい」というニーズを当社にいただいて、生まれたサービスです。その中央官庁様では、4年間、のべ6回の訓練用メールの送信を行いました。
SCAN:訓練の規模を教えて下さい。
IKI :最初は限定的に特定の部署だけでの実施でしたが、回を進めるごとに訓練対象部署は拡大し、最終的に6,000名の全職員全部署の皆様に向けて実施しました。
SCAN:「実際のウイルスメールを見せたい」というのはどういう意味なのでしょうか?
IKI :アンチウイルスやファイアウォール、IDS/IPSなどを導入し、PマークやISMS認証などを取得するといった、セキュリティ対策が充分進んでいる企業様や官公庁様では、実際にその対策が機能しているかどうかを点検したいというニーズが出てきます。模擬的な形であれ、ウイルスメールに実際に職員の皆様を触れさせたい、という意味だと思います。
セキュリティ対策は大きく分けて、技術的な対策・物理的な対策・人的な対策の3つが存在します。組織のセキュリティ強度は、もっともレベルの低いところに支配されます。「メル訓」をご利用いただくことで、そういった組織の中の「ヒューマン・セキュリティホール」の所在を明らかにすることができます。
また、高度なスピア型の攻撃は、技術的に防ぐことが理論的にできません。人間のレベルを上げていくしかないのです。
情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。
本サービスの概要や、某中央官庁で4年間にわたって実施されたという具体的な訓練結果について、アイエックス・ナレッジ株式会社 事業統轄本部 主任研究員の高濱 祐さん、同研究員 岩野 智昭さんのお2人に、SCAN編集部が話を聞く。
■本当のウイルスを見せて試してみたい
SCAN編集部(以下SCAN):ではまず最初に「メル訓」のサービスの内容を教えて下さい。アイエックス・ナレッジ社(以下 IKI):「メル訓」は、社員のみなさまに内緒で、ウイルスメールなどを模した訓練用のメールを送信し、うっかりファイルを開いてしまった人に向けてセキュリティ啓発を促すメッセージなどを表示したり、その開封状況を調査分析し、報告書などを提出するサービスです。
SCAN:訓練用のメールはウイルスを模したものだけですか?
IKI :最近の巧妙化するメールによる攻撃の状況に対応して、大きく分けて下記の3つのカテゴリの訓練メールを準備しています。
(1)ウイルスメール(添付ファイルをクリックさせるタイプ等)
(2)スパムメール(懸賞やアダルト、転職などを誘うタイプ等)
(3)スピア型攻撃メール(フィッシングや詐欺、ビジネス絡みのメール)
もちろん全て模擬メールで、実際のウイルス等は一切含まれていません。
まずこれらのメールを、社員や職員の調査対象の方向けに配信します。そして、訓練メールの添付ファイルを開いたり、訓練メール本文のリンクをクリックしたりすると、訓練対象者のパソコンの画面上に警告メッセージが表示されます。警告メッセージにより、何か問題があったことが一目でわかりますので、訓練対象者のセキュリティリテラシーの向上を図ることができます。
同時に、訓練用メールを開封したり、添付ファイルを開いた人や時間を記録し、集計することができます。
たとえば部署ごとに開封の比率を出すことで、組織全体のセキュリティ対策の徹底度などを知ることができます。
SCAN:「メル訓」はアイエックス・ナレッジ社が商品企画したのですか?
IKI :いいえ。そもそもの始まりは弊社のクライアントの某中央官庁様が、職員の皆様に対して「実際のウイルスメールを見せたい」というニーズを当社にいただいて、生まれたサービスです。その中央官庁様では、4年間、のべ6回の訓練用メールの送信を行いました。
SCAN:訓練の規模を教えて下さい。
IKI :最初は限定的に特定の部署だけでの実施でしたが、回を進めるごとに訓練対象部署は拡大し、最終的に6,000名の全職員全部署の皆様に向けて実施しました。
SCAN:「実際のウイルスメールを見せたい」というのはどういう意味なのでしょうか?
IKI :アンチウイルスやファイアウォール、IDS/IPSなどを導入し、PマークやISMS認証などを取得するといった、セキュリティ対策が充分進んでいる企業様や官公庁様では、実際にその対策が機能しているかどうかを点検したいというニーズが出てきます。模擬的な形であれ、ウイルスメールに実際に職員の皆様を触れさせたい、という意味だと思います。
セキュリティ対策は大きく分けて、技術的な対策・物理的な対策・人的な対策の3つが存在します。組織のセキュリティ強度は、もっともレベルの低いところに支配されます。「メル訓」をご利用いただくことで、そういった組織の中の「ヒューマン・セキュリティホール」の所在を明らかにすることができます。
また、高度なスピア型の攻撃は、技術的に防ぐことが理論的にできません。人間のレベルを上げていくしかないのです。
| 1 | 2 |
- 関連ワード:
- 脆弱性 ネトゲ廃人 スパム 働くエンジニア サイトーくん Winny
Ads by Google
コメントするにはログインが必要です
関連ニュース:脆弱性
- 【情報漏えいニュース】マイケル・ジャクソンの訃報がスパムメールに利用されるネットセキュリティ 11日09時00分
- 脆弱性対応が遅れる企業でマルウェア被害が継続、マカフィー調べITmedia 10日14時45分
- JPRS、2010年をめどにJPドメイン名サービスへDNSSECを導入
@IT 10日14時22分 - MS、7月の月例パッチを事前通知--「DirectX」の脆弱性など6件CNET Japan 10日12時14分
- アップル、「Safari 4.0.2」をリリース--深刻な脆弱性に対応CNET Japan 10日11時28分
- << 日本海ケーブルネットワー…
- IT一覧
- シマンテック、一元管理コ… >>
|
3,570円
TSUTAYA online
|
9,807円
エレコムわけありショップ
|
4,980円
ロジテックダイレクト@楽天市場店
|
8,800円
ロジテックダイレクト@楽天市場店
|
ITアクセスランキング
- 『DRAGON QUEST IX』の仲間キャラに自我がない件についてロケットニュース24 11日10時28分(4)
- ドラクエも三人乗りも解禁!煩悩も爆走! ガンバレおかあさん【4コマでわかる時事ニュース】
ITライフハック 11日09時00分 - 温故知新!ファンを魅了するデジカメ「ライカ M8」【最新口コミ モノ・トレンド】
ITライフハック 10日10時00分(6) - [レポート] 『ドラゴンクエストIX 星空の守り人』いよいよ発売! 堀井さんからの手渡しも電撃オンライン 11日08時46分(1)
- 携帯電話の着信音を鳴らすのは著作権侵害で追加料金の支払いが必要であると著作権団体が主張GIGAZINE 10日15時50分(13)
- ついに『ドラクエIX』の本物ゲームデータが流出! マジコン対策は導入部分でのフリーズ
ガジェット通信 10日01時23分(14) - いよいよ明日発売の「ドラゴンクエストIX(ドラクエ9)」は史上最高の売り上げを達成かGIGAZINE 10日17時25分(1)
- バーチャル恋愛、愛の大安売りに陥る男たち ――「ネット婚活サイト」活用法と落とし穴 ダイヤモンド・オンライン 10日11時07分(8)
- 【ゲーム×コンボ】ドラクエ9の発売日当日の販売状況は? 朝7時販売は……
ゲーム×コンボ 10日11時45分(2) - ドラゴンクエスト9とマジコン対策ツカサネット新聞 20日20時27分(5)
注目の情報
英語、話したいです!石川遼17歳『スピードラーニング』を移動中に聞いてます。英語を聞いてすぐ日本
語が分かるのがいいですね。海外の試合で外国人選手とコミュニケーシ
ョンをとれるようになったのが一番嬉しいです!
遼くんが今も学んでいる英語とは














行きの電車、帰りの電車で