米フィッシュミー、不審メールの訓練／報告サービスを提供：「あっ、開いちゃった」と思ったら報告する体制を

米フィッシュミーが、不審なメール全般に対する従業員教育ソリューションの提供を開始。フィッシングメールや標的型攻撃メールなどに気付く「センス」を高めるとともに、自然に報告できる体制作りを支援する。

[高橋睦美，＠IT]

　米フィッシュミー（PhishMe）は2017年4月12日、S＆JならびにNRIセキュアテクノロジーズと販売代理店契約を結び、日本市場で本格的にサービスを提供すると発表した。

米フィッシュミー アジア太平洋地域営業担当ディレクターのダンカン・トーマス氏

　フィッシュミーが提供するのは、なりすましメールや不審なメールを再現しての従業員教育と、それと連携した報告体制やインシデントレスポンス体制の強化を支援するソリューションだ。米フィッシュミーでアジア太平洋地域営業担当ディレクターを務めるダンカン・トーマス氏は、「フィッシングという言葉を知っているかと尋ねると、95％は『知っている』と返答する。しかし、本当に必要なのは、認知度ではなく、メールに関する従業員の振る舞いを変えることにある。訓練メールにせよ、実際のフィッシングメールにせよ、それを受け取ったら自然に報告するように従業員の行動を変えていくことが重要だ」と述べた。

　フィッシュミーのソリューションは、複数の製品で構成されている。中核となるのは、さまざまなパターンの不審なメールを、誘導先Webサイトなどとともに再現する「PhishMe Simulator」と、こうしたメールを受け取った従業員がワンクリックでセキュリティ担当者に報告を行える「PhishMe Reporter」、そして、受け取った報告を基にセキュリティ担当者が脅威の優先順位付けを行い、調査や対応を行うための「PhishMe Triage」だ。

　PhishMe Simulatorでは、金融機関を装うフィッシングメールはもちろん、標的型攻撃やランサムウェア、最近増加しているビジネスメール詐欺（BEC）など、さまざまな不審メールを再現して、従業員へ送付する機能を備える。繰り返し訓練を行うことで、タイプミスやメールアドレス、URLの違い、言葉遣いといった「不審な点に気が付くセンス」を高めるとともに、少しでも「おかしいな」と思える部分があれば、PhishMe Reporterによって速やかにセキュリティ担当者へ報告する振る舞いを身に付ける手助けをする。

OutlookやChromeなどのプラグインとして提供される「PhishMe Reporter」では、ワンクリックで不審なメールを報告できる

　PhishMe Triageではこうした報告を収集し、グループ分けとリスクに応じた優先順位付けを行う。「こんな詐欺メールが増えている」「この特定のユーザーを狙ったメールが多い」といった全体的な傾向を把握するのはもちろん、個々の報告と従業員をひも付けて、「この人は頻繁に報告してくれるが、間違いも多い」「この人からの報告は信頼できる」といった具合に、レポート元のレピュテーションを作成し、本当に危険な兆候を早期に見つける手助けを行う。こうした情報をSIEM（Security Information Event Management）製品や他のセキュリティ製品と連携させることも可能という。

　フィッシュミーでは同時に、独自に設置したハニーポットや顧客からの情報に基づいてメールに関する脅威インテリジェンスをフィードする「PhishMe Intelligence」や、無償で利用可能なセキュリティに関するオンライン教育コンテンツも提供する。

不審なメールに「気が付く感度」を高め、「報告」を当たり前にする

S＆J代表取締役社長の三輪信雄氏

　国内では、日本年金機構が標的型攻撃を受けて大量の情報漏えいにつながった2015年の事件をきっかけに、標的型攻撃メール訓練サービスへの注目が高まった。だがS＆J代表取締役社長の三輪信雄氏は、「訓練ができるのはせいぜい年に1〜2回程度。また、不審なメールを開いたら電話で報告するフローにしているために、あまり多くの従業員に訓練を実施できない企業もある」と述べ、訓練を頻繁に行えるわけではない企業の状況に警鐘を鳴らす。フィッシュミーのソリューションによって、こうした訓練を自動化し、毎月、毎週といったレベルで定期的な訓練を実施できるようになる。

　ダンカン氏によれば、さまざまなテンプレートを基に繰り返し訓練を実施することにより、米国では、不審なメールの開封率が50％から10％以下に下がったケースもあったという。もちろん、サポートや営業、購買、人事など、届いたメールを開くのが仕事という部署もあり、これを0％にすることは現実的でないかもしれない。だが三輪氏は、「繰り返し訓練を実施することで、日本でもこれを3〜5％に減らせると考えている」と、「当たり前にする」ために必要となる訓練の重要性を説いた。

繰り返し訓練を実施することで開封率を減らし、併せて報告率も上げていく

　不審なメールをなるべく開かないように「感度を高めること」以上に重視されるのが、「報告プロセスを身に付けること」だ。「不審なメールを完全に開かないようにするのは難しくても、添付ファイルを開いて、想定と異なる、いつもと違う“おかしいな”と感じる挙動があったら、すぐに報告する体制が当たり前になるようにしていきたい。開いてしまったことがすぐに分かれば、その後の対処も速やかに行える」（三輪氏）。

　S＆Jではこうした観点から、日本向けにカスタマイズした訓練メールの作成だけでなく、SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）との連携体制の構築や、報告されたマルウェアの解析サービスといったコンサルティングサービスとともに、フィッシュミーのソリューションを提供していく。

　PhishMe SimulatorはAmazon Web Services（AWS）上に構築されたクラウドサービスとして展開する。規模にもよるが、参考価格は1ユーザー当たり5000円／年程度を想定する。また、PhishMe Triageはクラウド、オンプレミスどちらでも利用可能。参考価格は、同じく1ユーザー当たり1万円／年程度になるという。