ポケットカード株式会社 様｜トラップメール（GSX標的型メール訓練サービス）

■トラップメール（GSX標的型メール訓練サービス）

― まず、検討のきっかけや背景をお聞かせください

標的型攻撃がIPA「情報セキュリティ10大脅威」の上位に選出されたことが直接のきっかけです。

同攻撃の特徴を鑑みた際に、まずは「社員の情報セキュリティに対する意識向上を図る」ことが必要であると考えました。

― 具体的には社内にどのような課題がございましたか？

当初、「標的型攻撃メール訓練」ならばメールを送信するだけであり、手軽に実施できると考えておりました。

ところが、実際に事前検証や諸々の準備を想定すると「誰が訓練メールを開封したのか」「部門・役職別の傾向はどのようになっているのか」などを把握するには、相当な手間と工夫が必要であることに気付きました。

有効な効果測定を行うことを考慮すると、一定のシステム構築とノウハウが必要であり、内製するよりも既に実績のあるサービスを利用することが近道であると考えました。

― 当社の他に他社サービスを検討されましたか？

サービス内容と実績・価格を比較検討しました。その中で最もコストパフォーマンスが高いと判断したGSX社のサービスを選定しました。

― 当社サービスのポイントはどのようなところですか？
　 またGSXによる実施をご決断されたポイントをお聞かせください

具体的な実施要領がパッケージ化されており、1回の打合せと簡易なシート記入のみで、訓練を実施することができる点が非常にありがたかったです。

― 実際にどのような形で訓練を実施しましたか？

2回の訓練を実施しました。
1回目と2回目の間に「情報セキュリティ教育」のeラーニングを実施することで、より認識を高めることができたと思っております。

なお、2回の訓練ともに事前のアナウンスは一切行わずに「抜き打ち」で行いました。実態に近い状態で訓練を行わなければ意味がないと考えによります。

社内からの苦情も多少覚悟しましたが、クレームは一切なく、好意的な反応が多かったのは社風でしょうか。

― 実際の効果・効用をお聞かせください

社員の情報セキュリティ意識向上の「きっかけ」にすることができました。
なりすましメールを実体験することでサイバーセキュリティの脅威をより身近なものと感じてもらうことができたと思います。

また、社内の情報セキュリティ意識レベルを「見える化」できたことにより、情報セキュリティ強化対応を行う際の説得力を高めることができました。

― メール訓練を実施したことで、お気づきの点はございますか？

標的型攻撃メールは社員の一人でも添付ファイルを開封したら被害が発生します。
私自身、上役の名前で「異動の件」という件名のメールが来たら開封してしまうことでしょう。

標的型攻撃による被害を抑制する目的で、メール訓練を繰り返して開封率を低くするというアプローチは非効率であると思います。開封率をゼロにすることは現実的ではなく、「誰かは開封してしまう」ことを前提にした対策が必要であることを、訓練を実施して改めて感じました。

前項で触れたように、標的型攻撃メール訓練の実施効果は「情報セキュリティ意識向上・情報セキュリティ強化対応推進の『きっかけ作り』」にあると私は考えます。

― メール訓練実施を受けて、改善リクエストはございますか？

本訓練を実施する際、「情報セキュリティ教育」を併せて行う会社が多いと思います。そのコンテンツを併せてご提供いただけますとありがたいです。

― 実際に訓練で使用したメール文面

■ トラップメール（GSX標的型メール訓練サービス）

標的型攻撃メールを模擬・模倣した、実際には無害の訓練メールをユーザ（一般社員）に送信します。訓練メールに含まれる添付ファイルやURLリンクを誤って開いたユーザは、何時何分にそれを開いたかというアクセスログが記録されるとともに、標的型攻撃メールの危険性や対策・対応方法を説明した教育コンテンツに誘導され、適切なセキュリティ教育を実施することができます。

ポケットカード株式会社 様 導入事例紹介リーフレット　(PDF 1.3MB)