メール訓練とセキュリティ教育の連動が企業にもたらす大きな成果

昨今、マルウェアであるEmotetの活動再開やランサムウェアの一種であるContiの活発化に加え、不正なプログラムを使った標的型攻撃メールが発生し続けています。

T3はラックよりWebアプリケーションの環境を払い出し、独自でメール訓練を実施できるセルフ型のメール訓練サービスです。従来のシステムと比較して、企業が独自の判断でより柔軟に訓練を実施できるようにシステムをリニューアルしました。無償トライアル含めて多くの企業を支援する中で、メール訓練だけでなく、セキュリティ教育に関しても課題を抱えている企業や組織が多いことがわかりました。同じユーザーアンケートで要望を聞いたところ、「訓練実施前後の社員教育」を求める声が27.2％と最も多かったのです。

そういったニーズに応えるべく、メール訓練とセキュリティ教育の人的対策を包括的に提供できる従業員向け情報セキュリティ意識向上プラットフォームの1つとして「標的型攻撃メール訓練 T3 with セキュリティ教育」（以下、T3 with セキュリティ教育）の提供を2022年4月20日に開始しました。T3 with セキュリティ教育は、メール訓練とセキュリティ教育を「いつでも」「何度でも」をコンセプトに、通年で提供する年間サービスです。

この記事では、前述のユーザーアンケートを参照しながら、T3 with セキュリティ教育の内容や活用事例を紹介します。

メール訓練とセキュリティ教育による免疫力の向上

多くの企業が実施している人的なセキュリティ対策として、メール訓練とセキュリティ教育が挙げられます。メール訓練は疑似的な攻撃メールを受信するという体験を通じて、不審なメールの見抜き方や対処方法を学ぶことができます。対して、セキュリティ教育では啓発として実際の攻撃事例や適切な対処方法を学び、知識の定着を図ります。そのため、メール訓練とセキュリティ教育を併せて行うことで相乗的な効果が得られます。

下図は、訓練とセキュリティ教育を併用している企業の訓練結果です。開いてはいけない疑似的な攻撃メールの開封率を、回ごとに記述しています。初回は5割を超えていた開封率が、2回目には2割弱と顕著に低下し、その後も概ね右肩下がりで推移しています。9回目の2.0％は、初回と比較すると大きな進歩の結果だと言えるでしょう。定期的な実施を行うことが、従業員一人ひとりのセキュリティ意識の向上につながります。

T3を提供する中で企業から届いたそのほかの声

ラックは2021年度、T3の無償トライアルや、キャンペーンを展開し、メール訓練サービスによって様々な企業や組織を支援しました。そうしたユーザーからは、教育が必要という以外にも、次のような意見や要望が届いています。

• 「メール訓練の後に教育コンテンツを作成することが大変である」
• 「メール訓練や教育を複数回実施するとコストが増えてしまう」
• 「都度の契約手続きが手間である」
• 「業務が忙しく、長時間の教育コンテンツを見る時間が取れない」

そこで「従業員向け情報セキュリティ意識向上プラットフォーム」の検討が始まりました。

T3 with セキュリティ教育

「メール訓練とセキュリティ教育を併せて提供する」「いつでも好きな時にメール訓練やセキュリティ教育が行える」という考え方を基にリリースしたのがT3 with セキュリティ教育です。

新サービスであるT3 with セキュリティ教育は年間契約プランとなっており、契約期間内であればメール訓練と5分前後のセキュリティ教育動画がいつでも好きな時に利用できるサービスです。また、セキュリティ教育動画については、現場やセミナーなどで活躍するセキュリティ専門家が作成し、定期的に新作の教育動画を追加します。飽きさせない仕組みにより、理解力の定着・向上を図ります。

T3 with セキュリティ教育の流れ

標的型攻撃メール訓練の流れ

配信システムにて、訓練ご担当者が訓練メールを準備し、配信していただきます。
開封結果は配信システムにて確認可能です。結果報告書は、簡易報告書の形式にてダウンロードいただけます。

訓練結果のダウンロード

メール配信ログ・開封ログ・訓練結果ログおよび、簡易報告書がダウンロードいただけます。
簡易報告書では、お客様の開封率と他社実績の比較と併せ、メールアドレス単位の開封有無が確認可能です。

eラーニング

標的型攻撃メール訓練後のフォローアップとして、全てのeラーニングコンテンツをご視聴いただけます。
また、今後受講者の受講履歴・進捗率確認機能をアップデート予定です。

サービスの活用イメージ

サービスの活用方法の一例として、以下のような利用ケースが挙げられます。また、メール訓練においては使用するメール文面を検討する上で、ラックから提供するメールテンプレートを活用できます。テンプレートを使用した他社の平均開封率を併せて記載しておりますので、メール訓練の実施が初めてであった場合は平均開封率が5%程度のものを使用して現状把握を行う、ある程度訓練にも慣れてきた場合には開封率が20％程度のものを使用して教育の効果を確かめるなどの訓練方法が実施可能です。なお、訓練メールの開封者に対して改めて啓発を行いたい場合は、開封者のみをピックアップし、教育後に再度メール訓練を実施するなど追加施策の実施も効果的です。

ご利用ケース① 定期的なメール訓練 ＋ 開封してしまった社員に、eラーニングでフォローアップ

ご利用ケース② 年間を通してeラーニングを実施 ＋ メール訓練によるリテラシーの定着を確認

このように、いつでも、何度でもメール訓練やセキュリティ教育が実施可能であるため、企業や組織の環境に即した従業員のセキュリティ意識向上に貢献できます。

さいごに

今回、「従業員向け情報セキュリティ意識向上プラットフォーム」の足掛かりとしてT3 with セキュリティ教育の提供を開始しました。本サービスの利用により、従業員一人ひとりが企業や組織のセキュリティを考えるきっかけになると考えています。

下図は、メール訓練サービスの新規ユーザーとリピーターの平均開封率を比較したものです。8年にわたる調査において、常にリピーターの開封率が低いことからも、その有効性を見て取れます。

今後もラックが培った知見を生かしたコンテンツの追加や次のステップに向けたプラットフォームの拡張を検討しています。引き続き、ユーザーである企業や組織のセキュリティ維持、向上を支援したいと考えています。サービスへの質問や不明点などがありましたら、気軽に相談ください。

 

（参考）無料トライアルのご案内

標的型攻撃メール訓練をこれから始める方に向けて、まずは1回分（1か月間/10ユーザまで）をお試しいただける無料トライアルキャンペーンを実施しております。
この機会に是非お試しください。

（参考）販売パートナー様との取り組み

ラックのメール訓練サービスは販売パートナー様を通じてもご利用いただく事が可能です。

※ 販売パートナー様によってサービス仕様が異なる場合があります。詳細は各社ホームページをご確認ください。

• エムオーテックス株式会社　サイバー保険が付いた標的型攻撃メール訓練サービス
• TIS株式会社　標的型メール訓練サービス
• 綜合警備保障株式会社（ALSOK）　標的型メール攻撃訓練「ITセキュリティ予防接種」

他、複数社