エンドポイントやネットワークに対するサイバー攻撃は増加の一途を辿っており、組織は防御体制を整備する必要があります。しかしながら、技術の進歩はサイバー犯罪者にとって大きな効果を発揮しており、侵入はより困難になっています。そのため、サイバー犯罪者は現在、個人を標的とした新たな形態の脆弱性に狙いを定めています。
フィッシングメールを理解する
従業員が意図せず、フィッシングサイトへのリンクを含むメールを開いてしまうことがあります。ランサムウェアのスクリプトが隠されたWord文書や、職場全体のセキュリティを侵害するようなメールなど、フィッシングメールはクリックされやすいものです。報告によると、従業員全体の約30%が定期的にフィッシングメールや関連リンクをクリックしており、対処が非常に複雑になっています。そのため、組織は従業員にフィッシングメールに関する意識を広めることが不可欠です。従業員にフィッシングについて教育するための良い出発点として、トレーニングの実施やセキュリティポリシーと手順の強化が挙げられますが、シミュレーションは従業員の警戒心を維持する優れた方法です。
フィッシングシミュレーション:はじめに
あらゆるシミュレーションテストは、従業員にメールの安全性とフィッシングの影響について教育する導入トレーニングから始める必要があります。すべての組織は、従業員がサイバー脅威に関する経験、疑念、その他の要件を気軽に共有できる、フィッシング対策メールアカウントを設定する必要があります。
しかし、フィッシングシミュレーションテストには多くのステップがあり、適切な計画から始めることが重要になります。組織は、これらのフィッシングシミュレーションテストの実施方法について、以下で詳しく説明する点に注意する必要があります。
- 電子メール経由でフィッシング テストを頻繁に実施することは、人々が期待し始め、サイバー犯罪者でさえすぐに警告を受けてしまうため、お勧めできません。
- そうは言っても、不定期に行われるシミュレーション テストも同様に効果がありません。企業が頼りにできるレポートや統計がほとんどなくなるからです。
- フィッシング シミュレーションでは、組織は攻撃者のように考え、時々怪しいメールを送信する必要があります。
- 言及された手法は、従業員が依然として疑わしいリンクをクリックし続けているかどうかを確認するテストのようなものです。
- フィッシングメールは疑念を抱かせるため、全社に転送すべきではありません。むしろ、プロセスは有機的に行われ、通常は月1回、選ばれた従業員グループをターゲットにする必要があります。
- フィッシングシミュレーションテストの多くは、通常12ヶ月間にわたって計画されます。ただし、状況に応じてアドホックなキャンペーンを実施する場合もあります。
件名に基づいてフィッシングメールを作成する場合、企業は従業員から完璧な反応を得るために様々なオプションを利用できます。「これは支払いません」という機能的なメールから、「何か無料でプレゼント」という内容のメールまで、閲覧者を悪意のあるリンクをクリックさせるような様々なオプションがあります。
報告書の入手と従業員のさらなるトレーニング
優れたフィッシングシミュレーションテストには、タイムリーなレポートを送信するツールが組み込まれています。これらのツールは、開封率、クリック率、さらにはフィッシングメールの受信を報告した従業員の数を追跡するのに役立ちます。
企業の期待を詳細に記述する場合、全社的なフィッシング刺激テストが成功した後は、クリックスルー率は低下すると考えられます。傾向報告率は通常高めに設定されており、このプロセスによって最終的に組織内の最も脆弱な部分が明らかになります。このようなシミュレーションテストを実施することで、企業は既存の結果に基づいてトレーニングの原則を調整・修正することができます。
組織内の特定の人物がこれらのリンクを頻繁にクリックする場合があります。フィッシングシミュレーションスキームによると、そのような人物はIT/セキュリティ専門家による個別トレーニングを受ける必要があります。
フォローアップ
すべてのフィッシング シミュレーション キャンペーンには、関連する電子メールを送信して、IT 部門が関係する従業員にフィッシング メールの実態と、それに対する対応について通知する必要があります。
適切なツールの使用
フィッシングシミュレーションソフトウェアまたはツールは、組織をサイバー犯罪者から守るために不可欠です。企業は、詳細な統計情報をタイムリーにレポートとして送信するツールを選択する必要があります。さらに、一部の企業では、ユーザーの認証と検証を目的としたデジタル証明書も利用しています。これらの証明書はメールに添付され、メールの正当性を証明します。
言うまでもなく、フィッシング シミュレーション テストは、関係する組織の機密性に最小限のストレスを与えることで、従業員の警戒を確実に維持することができます。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威からエンドポイントを包括的に保護します。詳しくは、 ウェブサイト.
