“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT：ITmedia エンタープライズ セキュリティセミナーレポート（2/4 ページ）

[タンクフル，ITmedia]

　その理由は、「メールに興味を持たなかったので開かなかった」「忙しくてメールを開けなかった」などの状況で開封率が変わるからだ。訓練のやり方によっても変わってくることから、「開封率ではなく、その後の対応が重要」という考えだ。

　そのためJNBでは、開封率ではなく初動対応率にポイントを置いている。「初動対応」とは、LANから端末を切り離すこと。それから、セキュリティ対策室に連絡を入れると規定している。

　JNBでは、標的型メールの訓練を年2回実施しており、岩本氏によれば前回の結果では、開封率が13.3％でありながら初動対応率は約80％と高い数値だったという。

　この訓練では、CSIRTスタッフが知恵を絞って、“受信者側が開いてしまうようなメール」を作成する。例えば、研修が終わったばかりの時期に行った訓練では、「新人社員研修のお礼メールを新人社員が送信した」というストーリーが使われた。

　メールは「研修ありがとうございました。飲みに行きたいです！」という内容もの。送信者が新人の場合、受けた側は名前に覚えがなくてもうっかり開けてしまう可能性が高い。その上、メールの送信ドメインをJNBに偽装すれば、開封率は上がる。

　この程度の偽装で、メールは簡単に開封されると岩本氏。また、ビジネス文書であるにもかかわらず、「ぜひ、見てください＼(^o^)／」という顔文字が入っていたとしても、「新人ならこんなものか」と、メール内のリンクをクリックしてしまうという。

　男性社員には女性名、女性社員には男性名でメールを送信したところ、「役員はバンバン開いてしまった」と岩本氏。全社の開封率は13.3％だったものの、役員の開封率が全社平均を大幅に上回ったことにも触れ、「このような形で役員を巻き込むことは、啓発につながる」と説明した。

思わず開きたくなる怪しいメールの例。男性社員の場合、差出人が女性だと開封率が高い。メールには、添付ファイルやリンクなどを設定してある

　岩本氏は講演の最後に、サイバー攻撃に対する効果的な対策を紹介した。ポイントは以下の3つだ。

• 攻撃手口、対策方法を知ること
• 自分たちでやってみること
• 経営の理解を得ること

　いずれも「人間力」に関するもので、岩本氏は、セキュリティ対策は業者に丸投げせず、まず自分たちでやってみることが重要だと話す。自分たちでやってみることで、“勘所”がつかめるからだ。

　サイバー攻撃への対策は、スキルよりも人間力が重要であることを示して岩本氏は講演を終えた。