認定メール安全管理士｜セキュリスト（SecuriST）®

三井不動産株式会社

棚原遥氏

三井不動産株式会社の棚原氏に認定メール安全管理士（認定メール安全管理士公式トレーニング）を受講いただいた感想をお伺いしました。

昨今のメール攻撃の脅威について

添付ファイルやリンク先をクリックさせて、ウイルス感染等を引き起こす攻撃

標的型攻撃と呼ばれるサイバー攻撃における、最も典型的な攻撃手法です。インターネットを利用した攻撃の多くは、攻撃者が侵入する際のきっかけとしてメールが多用されます。
重要な情報を盗み出す手段として、　標的のクライアントPCをマルウェアに感染させる事を目的として、あらゆる騙しのテクニックを用いた攻撃メールを送信してきます。攻撃メールに含まれる、リンク先URLあるいは添付ファイルを開封するとマルウェアに感染します。

よくある誤解

ウイルス対策ソフトを導入しているから大丈夫!?

この攻撃では、ウイルス対策ソフトに検知されないようにカスタマイズされたウイルスを使用したり、ゼロデイ攻撃というアプリケーションなどの未知の脆弱性を利用したり、各種OSやソフトウェアのパッチ未適用といったスキが狙われることも多く、ウイルス対策ソフトでは完全に防ぎきれません。
また、フィッシングサイトを利用したクラウドサービスなどのIDやパスワード窃取も行われるため、ウイルス対策ソフトだけでは守ることができません。

感染してもすぐに気が付ける!?

目的の多くは、マルウェア感染させてデータを破壊することではなく、組織内に深く潜行し、重要なデータを外部に持ち出すことです。
多くの場合、初期症状が表れず攻撃されても気づきません。

サイバー犯罪の中で最も多いのが「フィッシング詐欺被害」

サイバー犯罪の多くはメールが発端となっている

日本人の約3人に1人が
過去にサイバー犯罪の被害に遭ったと回答

日本人が経験したサイバー犯罪の中で最も多いのは、
フィッシング詐欺

約7人に1人がコンピュータやモバイル機器のウイルス感染、恐喝メール詐欺、モバイル/SMS詐欺を経験

参考：ノートンサイバー犯罪調査レポート2023
2022年のサイバー犯罪被害総額は推定約1,045億円と被害は大型化
https://prtimes.jp/main/html/rd/p/000000029.000069936.html

ID・パスワードの窃取による「認証情報被害」

クラウド時代における標的型メールを契機にした芋づる式被害の発生

標的型メールから誘導された偽のログインフォームでログイン情報を入力させることで認証情報を窃取する攻撃者

窃取されたログイン情報から、クラウドサービスが乗っ取られる被害

乗っ取られたメールアカウントを使い、他のサービスまで芋づる式に被害に遭う

メール経由でのフィッシング詐欺やサイバー攻撃を防ぐには

インターネットを利用した攻撃の多くは、攻撃者が侵入する際のきっかけとしてメールが多用される

攻撃者から送信されたメールは直接個人のメールボックスに入るため、受信者がそのメールをどう扱うかによって攻撃の成否が決定する

受信者が攻撃者から送信されたメールに正しく対処することで、被害を防ぐことできる

認定メール安全管理士講座開発の背景

インターネットを利用した攻撃の多くは、攻撃者が侵入する際のきっかけとしてメールが多用されます。
攻撃者から送信されたメールが従業員のメールボックスに入らないようにしたり、従業員が添付ファイルなどを実行しないようにすることで、多くの攻撃を防ぐことができます。
がしかし、従業員がメールを適切に扱うことを期待する行動だけに頼ったセキュリティ対策では効果がありません。
メール経由で行われる攻撃対策の基本は次の通りです。

1. 悪意あるメールを従業員に届かなくする
2. 悪意あるメールを従業員が読まないようにする
3. 悪意あるメールを読んだ従業員がフィッシングサイトを閲覧したり、添付ファイルを開かないようにする

これらを実現するメール経由で行われる攻撃の有効策は次の通りです。

1. 技術的対策

端末・サーバーの設定やソリューション導入などによって脅威を低減

2. 技術的に止められない場合の対策

インシデント対応力の強化
監視による検知・遮断
インシデント報告の周知徹底

3. 認知能力（知識・経験）の向上

教育・訓練の継続
メール開封前の確認手段を規定

4. その他

ルールの周知徹底
モニタリングの強化
技術的な個別制限など

これら対策を啓蒙するとともに、当社がメール訓練で培ってきた知見、教育事業で培ってきたコンテンツ設計プログラムの知見といった当社の強みを活かし、教育講座として提供することとしました。

講座の目的

認定メール安全管理士は、攻撃の傾向やメールを悪用した手口に対抗するために、従業員のメールを管理するシステム管理者などが取るべきセキュリティ施策について学び、それを社内や組織において実施し、組織全体のセキュリティレベルが向上することを目的としています。
認定メール安全管理士は、メール安全利用検定の知識を身につけた上での受講が必要になります。

講座概要

メールシステムを運用する情報システム部門スタッフがメールシステムのセキュリティを強化するための高度な知識と技術（メール経由での攻撃対策、メール送受信の仕組みや暗号化手法、ドメイン認証やサーバーのセキュア化などを含む）を習得できる資格認定講座です。

認定メール安全管理士公式トレーニング

―システムやネットワークを管理し、セキュリティ対策を立案・実施する人々―

上記の役割を担う人々がメール安全管理に関する専門知識と技術を習得することで、企業全体の情報セキュリティ対策が強化されます。

● IT部門のスタッフ
● システム管理者
● ネットワーク/Webサイト管理者
● セキュリティ担当者
● ITマネージャー・ITディレクター
● CISO（Chief Information Security Officer）

認定メール安全管理士公式トレーニングの特長

01

セキュリティの要！システム管理者向けメール攻撃対策総合講座

この講座は、システム管理者がメールを経由した様々な脅威から企業を守るための総合的な知識と技術を提供します。SMTP、POP／IMAP、SPF、DKIM、DMARCなどの設定方法から、メールサーバーやクラウドメールのセキュリティ対策、悪意ある添付ファイルやURLの対処法まで、幅広くカバーしています。

02

システム管理者の必須スキル！メール経由の攻撃対策を徹底解説

この講座では、システム管理者がメール経由での攻撃に対処するために必要な知識と技術を網羅的に学ぶことができます。メールの仕組みから暗号化や電子署名、フィッシング対策まで、幅広いトピックをカバーし、企業の情報セキュリティを強化するための手法を身につけます。

03

メールセキュリティのプロへ！システム管理者必見の攻撃対策を学ぶ

この講座では、システム管理者がメール経由の脅威に対処するための専門知識を習得できます。従業員教育やフィッシング対策、インシデント対応組織の立ち上げなど、組織全体のセキュリティ対策を強化するための手法を学びます。これにより、企業全体の情報セキュリティレベルを向上させることができます。

講座を支えるメンバー

講師　上野宣氏

株式会社トライコーダ代表取締役
奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の会社トライコーダを設立

OWASP Japan 代表
株式会社Flatt Security 社外取締役
グローバルセキュリティエキスパート株式会社社外取締役
情報処理安全確保支援士集合講習講師、カリキュラム検討委員会
一般社団法人セキュリティ・キャンプ協議会理事・顧問
情報セキュリティ専門誌 ScanNetSecurity 編集長
Hardening Project 実行委員
JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
SECCON 実行委員
NICT 実戦的サイバー防御演習 CYDER 推進委員
一般社団法人 ITキャリア推進協会 (JAIC) アドバイザリーボードメンバー
情報経営イノベーション専門職大学 (iU) 客員教員
第16回「情報セキュリティ文化賞」受賞
第11回「ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 」受賞

主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』『めんどうくさいWebセキュリティ』『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数

レビュー/試験問題作成　大角祐介氏

ISP、セキュリティベンダなどを経て、現在はネット企業にてセキュリティ部門に所属。
情報セキュリティスペシャリスト、CISSP、CISA等取得
主な著書に「新しいLinuxの教科書」「正しく怖がるフィッシング詐欺」など
受賞歴や発表歴など

「情報セキュリティワークショップin越後湯沢2022」ナイトセッション講師
「JPCERT/CC 感謝状 2020」受賞
「JPAAWG 4th General Meeting」講演 "フィッシングサイト発生時の対応"
「InternetWeek 2019」講演 "Webサイト改ざんにより盗まれるクレジットカード情報"

認定メール安全管理士公式トレーニングから期待できる効果

①セキュリティ意識の向上

従業員とシステム管理者がセキュリティに関する基本的な知識や最新の脅威に対する理解を深めることで、組織全体のセキュリティ意識が向上します。これにより、セキュリティリスクを回避しやすくなります。
②セキュリティ対策の適切な実施

従業員がセキュリティ対策の方法やツールの使い方を理解し、システム管理者がメール経由での攻撃に対する対策を適切に実施することで、企業の情報セキュリティが強化されます。
③インシデント対応力の向上

従業員とシステム管理者がインシデント発生時の対応方法を学ぶことで、迅速かつ効果的な対処が可能となり、被害の拡大を防ぐことができます。

④組織的なセキュリティ体制の構築

従業員教育やフィッシング対策、インシデント対応組織の立ち上げなどを通じて、組織全体で取り組むセキュリティ体制が構築され、持続的なセキュリティ対策が可能となります。
⑤信頼性とブランドイメージの向上

企業が従業員とシステム管理者に対して適切なセキュリティ教育を提供し、情報セキュリティ対策を実施することで、顧客や取引先からの信頼が向上し、ブランドイメージが強化されます。
⑥法規制遵守とリスク低減

セキュリティ教育を受講することで、関連法規制や業界標準に適合した対策が実施され、法的リスクや損失リスクを低減することができます。

モジュール詳細

認定メール安全管理士公式トレーニング

メール経由で行われる攻撃対策の基本

メール経由で行われる攻撃の有効策

メールが到達する仕組み
・メール送受信の仕組み
・SMTP（Simple Mail Transfer Protocol）
・POP／IMAP
・メールメッセージの送信先指定
・2つの送信元メールアドレス
・ヘッダーFrom は偽装可能

メールメッセージを安全にする手法
・メールメッセージを安全にする手法
・メールを送受信する経路を暗号化する
・送信メールサーバーを不正利用させない
・ドメイン詐称を確認する送信ドメイン認証
・SPF（Sender Policy Framework）
・SPFは何から守ることができるのか？
・SPFの設定
・DKIM （DomainKeys Identified Mail）
・DKIMは何から守ることができるのか？
・DKIMの設定
・DMARC
・DMARCは何から守ることができるのか？
・DMARCの設定
・DMARCレポートの読み方・可視化ツール
・メール関連のDNS設定を確認する
・S/MIME と PGP
・正規メールを証明する仕組みの難点
・メールサーバー・クラウドメールをセキュアに

悪意ある添付ファイルやURLから守る手法
・悪意ある添付ファイルやURLから守る手法
・悪意ある添付ファイルやURLを利用者に届かなくする
・悪意ある添付ファイルやURLを利用者が開かなくする
・悪意ある添付ファイルやURLを利用者が開いても安全にする
・セキュリティ担当者が確認のために添付ファイルやURLを安全に開く方法

その他の脅威から守る手法
・メールに関わるその他の脅威から守る手法
・ビジネスメール詐欺（BEC）の対策
・ビジネスメール詐欺が判明した場合の対応
・メールの誤送信対策（従業員自身が行う対策）
・メールの誤送信対策（組織的、システム的な対策）
・内部からの機密情報持ちだし対策
・PPAPの問題点
・PPAPの代替案

顧客や利用者をフィッシング詐欺から守る手法
・フィッシングサイト/メールから守る手法
・フィッシングメールを判別するための対策
・フィッシングサイトに騙されないために
・フィッシングサイトに騙されたときでも被害を最小化する対策

利用者にフィッシング被害が発生してしまった際の対応
・利用者にフィッシング被害が発生した際の対応
・フィッシング被害状況の把握
・フィッシングサイトのテイクダウン
・検索結果にフィッシングサイトが表示される場合
・フィッシングメール・サイトの注意勧告
・フィッシング被害が発生した際の対応

従業員がフィッシング被害に遭った場合の対応
・従業員がフィッシング被害に遭った場合の対応
・ID・パスワードが窃取された場合の初動対応
・マルウェア感染が疑われる場合の初動対応
・緊急対応サービスの利用

従業員に対するフィッシング対策教育
・フィッシング詐欺被害の発生の抑制対策
・疑わしいものは報告
・不審な挙動が疑われる場合に取るべき初動対応の周知
・メールに記載されたURLはクリックしない
・怪しい添付ファイルの見分け方を教育

標的型メール訓練
・標的型メール訓練の種類
・訓練目的を明確化させることが重要
・評価可能な数値的ゴールを設定する
・要求する行動の事前設定
・メール訓練の運用
・標的型メール訓練の準備

インシデントに強い組織にするために
・セキュリティ対応組織の立ち上げ
・セキュリティ対応における役割分担の考え方
・セキュリティ対応の役割分担
・ガイドラインなどを活用したセキュリティ立案
・平時からの情報収集
・脅威インテリジェンスサービスについて/例

外部への情報共有と被害公表
・情報の入手と提供
・サイバー攻撃被害に係る情報の共有・公表
付録：メールを経由した攻撃から守るために
組織が実施すべきセキュリティ施策リスト

受講概要

主催	グローバルセキュリティエキスパート株式会社
受講料	講座＋試験｜88,000円（税込） ※公式トレーニング受講費用および認定メール安全管理士の受験費用が含まれます
研修時間	180分 \| 14:00～17:00
開催場所	オンライン（ライブ配信）
備考	専用電子テキスト認定試験1回
開催日程

受験概要

試験問題数	30問
試験時間	60分
試験会場	全国のテストセンター（株式会社シー・ビー・ティ・ソリューションズ（CBT-Solutions））
資格有効期限	3年
試験申込	※試験の日程は、テストセンターの空き状況に応じて選択いただけます。 ※受講された方は、試験申込の際に、お支払画面で「受験チケット」を選択の上、GSX事務局より案内される受験チケット番号（15桁のコード）をご入力ください。
	認定メール安全管理士試験
	申し込む

試験のみ受験される方

受験料	29,700円（税込）
試験問題数	30問
試験時間	60分
試験会場	全国のテストセンター（株式会社シー・ビー・ティ・ソリューションズ（CBT-Solutions））
資格有効期限	3年
試験申込	※試験の日程は、テストセンターの空き状況に応じて選択いただけます。 ※受講された方は、試験申込の際に、お支払画面で「受験チケット」を選択の上、GSX事務局より案内される受験チケット番号（15桁のコード）をご入力ください。
	認定メール安全管理士試験
	申し込む