大企業が取り組むべき「標的型攻撃メール訓練」とは？ 先進企業の事例から学ぶ： 「このメール、ちょっと怪しいかも」が企業を守る

高度化、複雑化するサイバー攻撃に対して、「当社の対策は万全だ」と自信を持っていえる企業はそう多くはないだろう。対策が後手に回っていると感じる企業がまず考えるべきこととは何か。

[PR／ITmedia]

PR

　ビー・エム・エル（以下、BML）はグループ全体で従業員約4500人を擁する臨床検査業界の大手企業で、1日当たりの検査受託患者数は30万〜40万件に上る。臨床検査の受託事業に加えて、近ごろは新型コロナウイルス感染症（COVID-19）のPCR検査を実施するなど、医療現場を支える存在だ。

　同社では医療に関する多くの機密情報を扱っていることから、アンチウイルスソフトとEPP（Endpoint Protection Platform）を導入してセキュリティ強化を図っていた。ただし、EPPはあくまでも脅威の防止という水際対策を目的としたものであり、未知のウイルスや悪意のあるソフトウェアの振る舞いは検知できない。同社はメールのフィルタリングツールも導入していたが、これも未知のウイルスは検知できない場合がある他、添付ファイルの形式によってはウイルスを検知できないこともある。

　高度化、複雑化するサイバー攻撃への対策が後手に回っていると感じた同社の情報システム部門は、「セキュリティソリューションの導入だけでは対策として不十分だ」と感じていた。

ソリューション頼みの入り口対策だけでは脅威は防げない

　BMLの鎌倉和幸氏（システム管理部　システム管理課主席）は同社のメールセキュリティについて「当社ならではの課題もありました」と1年前を振り返り、当時抱えていた課題を明かした。

BMLの鎌倉和幸氏

　「従業員の中には、メールを疑うことを知らない人もいました。受信したメールに標的型攻撃メールが含まれているという知識が無く、セキュリティ意識の希薄さが課題となっていました」

　そこで危機感が一気に高まる事件が起きた。2021年10月に、ある医療機関がランサムウェア被害に遭い、大きく報道された。医療機関が直接狙われたことは、同社を含めた医療関係者に大きな衝撃を与えた。

　BMLの情報システム部門を統括する山下祐二氏（取締役執行役員　システム本部長）は「もし当社が狙われていたらと考えると、ぞっとする大事件でした。経営的に大きなダメージを受けるだけでなく、検査ができなくなれば多くの医療機関にご迷惑をお掛けするでしょう。医療システムを停滞させ、患者さまの生命にかかわる大問題になります」と語る。

BMLの山下祐二氏

　さらに2021年秋ごろからマルウェア「Emotet」による攻撃が再び猛威を振るい始め、メールに添付されたファイルを従業員が不用意に開かないかどうかが懸念点となった。一刻も早く手を打たなければと考えた山下氏は、社長をはじめとする経営幹部にセキュリティ強化の必要性を訴えた。経営陣は事の深刻さをすぐに理解し、セキュリティ対策の抜本的な見直しを進めた。

　最初に取り組んだのが、それまでのセキュリティ対策ではカバーできていなかった脅威侵入後の対策だ。EDR（Endpoint Detection and Response）を導入すれば、マルウェアが社内に侵入したとしても、その挙動を検知して被害を最小限に抑えられる。

　すぐにでも導入をと考えたが、ここでも同社ならではの課題が浮上した。約4500人の従業員に対して同社が保有するPCは1万台を超える。全てのPCの動きをEDRで監視するには相応の費用を要する。だが経営陣の危機感は強く、急きょ予算を捻出してEDRを導入するに至った。

　しかし、EDRによって脅威侵入後の対策を強化しても入り口対策を怠っては意味がない。メールの添付ファイルを主な侵入経路とするEmotetなどのマルウェアは、受信者の勘違いや見落としを巧みに突いて攻撃を仕掛ける。添付ファイルはZIP形式で圧縮されていることが多く、フィルタリングツールではウイルスの検知が困難だ。悪意のあるファイルと気付かずに開けば、社内ネットワークへの侵入を許してしまう。エンドポイント対策に加えて、「怪しいメールは開かない」という従業員一人一人の意識強化が欠かせない。

「メール攻撃の避難訓練」で攻撃メールだと見破る力を高める

　そこで同社は全従業員にセキュリティ教育を徹底しようと考えた。セキュリティ研修サービスの選定に当たっては幾つか候補を挙げながら比較表を作って検討し、最終的にLRMの情報セキュリティ教育クラウド「セキュリオ」の採用を決めた。

　セキュリティ対策コンサルティングサービスを提供するLRMは、これまでに2300社以上の企業の情報セキュリティマネジメントシステム（ISMS）/ISO 27001認証取得を支援してきた。BMLがISO認証を取得する際にLRMの支援を受けたことも、LRMをパートナーに選ぶ理由の一つとなった。

　セキュリオの教育コンテンツの一つに「標的型攻撃メール訓練」がある。情報システム部門の担当者が標的型攻撃メールに似せたメール（以下、訓練メール）を作成して告知せずに送信し、従業員がそれを開くかどうかを確かめることで標的型攻撃メールの疑似訓練ができる。同様のサービスを提供する事業者は他にもあるが、訓練回数に応じて料金を加算する従量制が多い。それに対して、セキュリオは契約期間中ならば何度訓練を実施しても料金は変わらない。BMLは、訓練を重ねることで従業員がだまされやすいポイントを洗い出し、訓練のPDCAを回しやすいと考えた。

　「攻撃メール訓練は1回で済むものではなく、訓練を重ねて危険なメールを見破る力を高める必要があります。その点で、セキュリオの料金体系は当社のニーズにマッチしていると感じました」（山下氏）

訓練メールのテンプレートもあり、簡単に訓練メールの作成が可能（出典：LRMのWebサイト）

　BMLは2022年2月にセキュリオの利用を開始し、その後1年間に合計19回の標的型攻撃メール訓練を実施した。初回の訓練では全従業員の約4.5％に当たる約200人がメールを開封し、経営陣はがくぜんとした。2回目の訓練では多少人数が減ったものの、開封率は初回と同レベルだった。「半端な対策では駄目だ」と感じた経営陣は、トップダウンで徹底的に指導する方針に切り替えた。

　訓練メールを開いた従業員の部門長に、従業員を直接指導するよう通達した。関連会社の従業員が開封した場合は、関連会社の社長がその従業員を直接指導するように依頼した。こうして訓練を繰り返すうちに、情報システム部門にノウハウが蓄積されていった。

　「件名に『前月分の実績です』と書かれたメールは特に多くの従業員が引っ掛かり、添付ファイルや本文中のURLを開封してしまいました。メール末尾の署名欄には存在しない従業員の氏名が書かれているのですが、怪しむ従業員は少なかったようです」（鎌倉氏）

　IT部門はこうした反応を注意深く確認しながら、手を替え品を替えて訓練を実施した。訓練の結果は月に1回、本部とグループ会社に分けて件数を公開し、従業員に課題意識を持たせる取り組みを続けた。

　24時間連絡を受け付ける専用窓口も開設した。訓練メールを誤って開いた従業員は、すぐに窓口に連絡することを義務付けた。関係会社も含めて全てのPCに窓口の電話番号を記載したシールを貼り付けた。BMLでは、こうしてインシデントが起きたときにどう行動するかも含めたセキュリティ教育を進めている。

訓練メールの開封率も管理画面で確認できる（出典：LRMのWebサイト）

セキュリティ教育では「まずは上層部がやって見せる」が重要

　この1年間の標的型攻撃メール訓練により大きな成果が得られた。初回の訓練では従業員約4500人に対して200人が訓練メールを開封したが、現在は平均して約10人まで減少した。当初は管理職にも開封した人がいたが、現在はほぼいなくなったという。

　BMLの村井祥太氏（システム管理部　システム管理課）は「最近、訓練メール以外のメールでも、『少し怪しいメールが送られてきたのですが』といった問い合わせが多く寄せられるようになりました。怪しいメールは、すぐに開かずにいったん疑う。それだけで企業を守る大きな効果があると思います」と、従業員のセキュリティ意識の高まりを実感している。

BMLの村井祥太氏

　山下氏は、組織全体でセキュリティ意識を底上げするには、トップダウンによるアプローチが不可欠だと語る。

　「従業員が訓練メールを開いた場合、その上司に確認します。セキュリティ意識の重要性をしっかり伝えていたかどうかを尋ね、不十分であれば指導します。このやり方で意識改革が大きく進んだと確信しています」

　医療に関わる企業として、事業を絶対に止めてはならないというトップの強い意志の下で、セキュリティ意識の向上に取り組むBML。山下氏は「強化したかったことは、ほぼ実現できました。しかし、この世からサイバー攻撃がなくならない限り、訓練に終わりはありません。『開封率ゼロ』に向けてさらなる訓練と対策を進める考えです」と語った。

セキュリオのロゴ（出典：LRMの提供資料）