フィッシング攻撃シミュレーションの訓練メールにひっかからないユーザーはリスクが低いでしょうか?表面上は確かにその通りです。
しかし実際のところ、シミュレーションよりも社内で現実に起こっていることのほうがリスクを正確に反映します。ユーザーは攻撃シミュレーションはクリックしなくても、本当のフィッシングメールはクリックしているかもしれません。攻撃者は、セキュリティ意識向上トレーニング プログラムでは高リスクとみなされなかったユーザーも狙っているかもしれません。しかし今日からは違います。
プルーフポイントは業界で初めて、この不一致を一致させる革新的ソリューションをリリースしました。この新しい Targeted Attack Protection Guided Training の統合により、プルーフポイントの高度なメールセキュリティ製品から、誰がどのように狙われているかといった豊富な People-Centric データと脅威状況のデータをプルーフポイントのセキュリティ意識向上トレーニングに紐づけられるようになりました。ではこれにより、ユーザーの振る舞いをどう変化させられるかについて詳しく見ていきましょう。
新しいダッシュボードから把握できるリスク
Proofpoint Targeted Attack Protection の高度なメール セキュリティ ダッシュボード内の Very Attacked PeopleTM (VAP) レポートからのサンプルデータ
リスクに関する知見がさらに充実し、攻撃シミュレーションやナレッジアセスメントの結果に加え、実際の環境におけるリスクも確認できるようになっています。
Proofpoint Targeted Attack Protection の高度なメール セキュリティ ダッシュボード内のトップ クリッカー(よくクリックする人)
未知の攻撃を検知するサンドボックスであるProofpoint Targeted Attack Protectionでは、現実の悪意のあるコンテンツをクリックしたユーザー (Top Clicker) を確認できます。なお、ここではメール ゲートウェイ ソリューションでクリックがブロックされたり書き換えられた場合もクリックしたとしてカウントします。さらに、攻撃の標的となったユーザーである Very Attacked PeopleTM (VAP) も確認できます。VAPTMは平均的ユーザーより4‐10倍 (またはそれ以上) の攻撃を受けることがわかっています。これは、VAPTM が受け取ったメールの数だけでなく、その攻撃の重大性と、どれほど標的を絞ったものであったかを考慮に入れています。
このVAPTM とTop Clickerの2つのタイプのユーザーに集中的に教育を行うことで、従業員の時間を無駄にせずに、有効にリスクを低減できます。またこういった可視化により、VAPTM や Top Clicker でありながらセキュリティ意識向上プログラムに組み込まれていない従業員などといった、潜在的な盲点を発見できます。
関連性のある教育と効果的なアダプティブ コントロール
この知見をどのように活用して、より効果的なユーザー教育ができるか見てみましょう。
従業員それぞれのリスクを可視化する
例えばセキュリティ管理者が、Very Attacked PeopleTM (VAP) データを確認したところ、ユーザーが一番頻繁に遭遇する脅威は認証情報フィッシングだということが分かったとしましょう。その場合、セキュリティ管理者はリスクの高いユーザーであるVAPTM に対して、フィッシング攻撃シミュレーションをおこなうことができます。狙われやすい人に、よく遭遇する脅威のトレーニングを施すのは非常に効率的です。
自社を取りまく脅威に合わせたシミュレーション
もしあなたの組織に、OneDrive 認証情報のフィッシングが大量に送られてきているとします。その脅威に備えるためにフィッシング攻撃シミュレーションを作成したい場合、まず認証情報のフィッシング攻撃に狙われている人物である VAPTM を選びます。そして実際の攻撃をもとに作られたプルーフポイントのテンプレートを用いて、シミュレーションのメールを作成します。
ユーザーの行動を促すインパクトのある教育エクスペリエンス
シミュレーションに騙されてしまったユーザーには、プルーフポイントの教育ビデオである Attack Spotlights を自動的に見てもらうようにします。これは実際の脅威に基づいて作成された、3-5分程度の教育モジュールです。ユーザーの状況に合うようにモジュールをカスタマイズすることもできます。そして教育モジュールの最後では、不審なメールはAbuseメールボックス アドレスに送るか、メール報告アドインで報告するようにリマインドするようにします。
このようにリスクを可視化し、またプルーフポイントの豊富なコンテンツライブラリを活用することで、様々な方法でユーザーの意識を向上させ、ユーザーの振る舞いを変化させるようなインパクトのある教育が行えます。
共通の目標に向かってチームの足並みをそろえる
セキュリティ意識向上トレーニングは単独のプログラムではありません。様々な優先事項が入り交じり、さらに従業員がリモートで働くようになっているため、セキュリティ意識向上チームが他のセキュリティチームやその他の部門と協業することが今までよりも重要になってきています。人事、インシデント対応、メールセキュリティなどのチームと連携し、プログラムについて話し合って賛同を得、そしてセキュリティプログラムがビジネスニーズや他のチームの目標と同じ方向を向いていることを説明してください。
VAPTM や Top Clicker のデータは、プルーフポイントの高度なメール セキュリティ ソリューションを使っているメール セキュリティ チームはすでに目にしているデータなので、会話のきっかけに最適です。そうすることで、どちらのチームも、リスクの高い VAPTM に関して、各チームの目的にかなった内容を経営幹部に報告することができます。
このようにメール セキュリティ チームと協力して脅威状況を把握し、データの背景にある「理由」について話し合い、セキュリティ意識向上やWeb 分離などのアダプティブ コントロールでどのようにリスクを低減して組織に利益をもたらすことができるかについて認識を合わせることをお勧めします。VAPTM と Top Clicker データは頻繁に変わるため、継続的に同期を取ることが必要です。そうすることで、エンドユーザー リスクの低減という最終目標の達成に向かって、常に適切な対応ができるようになります。
セキュリティ意識向上をより現実に
このように可視化して知見を得ることで、自社環境のリスクにあったセキュリティ意識向上プログラムをより効果的に行うことができるようになります。しかし、これはこのプログラムの一部分にすぎません。あるお客様は、ユーザーが「セキュリティチームの一部」にならなければならない、と言っていました。これはどの会社にも言えることです。これを実現する最善の方法は、ユーザーに、不審なメールを不正使用メールボックスに報告するよう推奨することです。
2020年 State of the Phish レポートで報告したように、プルーフポイントのメール報告アドインを採用した組織では、ユーザーは平均して10-20%のフィッシング攻撃シミュレーション メールを報告しています。さらに、影響力の高い継続的プログラムを行っている組織では、ユーザーの報告率は70%以上、または上記のようにそれ以上になっています。プルーフポイントでは「70/5」ルール、つまり報告率70%以上、クリック率5%以下が重要だと考えています。クリック率は脆弱性を表し、報告率はユーザーが実際の攻撃にあったときにどうすべきかわかっているかどうかを示すものです。報告率が高ければ、それだけ被害にあう可能性を抑えることができます。
さらに、最先端のNexus 脅威インテリジェンスとサンドボックス技術を用いれば、ユーザーがどういった本物の脅威メールを報告していて、また、スパムや安全なメッセージではなく悪意のある/不審なメッセージを報告できるようになっているかも確認できます。レポートでは、セキュリティ意識向上プログラムでどういったインパクトが与えられているかが分かります。
セキュリティ意識向上ソリューションのカスタマイズデモで、Targeted Attack Protection (TAP) Guided Training のご説明をします。プルーフポイントが世界中の組織でセキュリティ意識向上をどのように実現させているかぜひご覧ください。