セキュリスト|メール安全利用検定 メール安全利用検定公式トレーニング
メールを利用する従業員が日常業務でメールを安全に利用するための基本的な知識とスキルを習得し、フィッシング詐欺や標的型攻撃から身を守る方法を学ぶ、メール利用に特化したオンライン講座です。
メールを利用する従業員が日常業務でメールを安全に利用するための基本的な知識とスキルを習得し、フィッシング詐欺や標的型攻撃から身を守る方法を学ぶ、メール利用に特化したオンライン講座です。
添付ファイルやリンク先をクリックさせて、ウイルス感染等を引き起こす攻撃
重要な情報を盗み出す手段として、 標的のクライアントPCをマルウェアに感染させる事を目的として、あらゆる騙しのテクニックを用いた攻撃メールを送信してきます。攻撃メールに含まれる、リンク先URLあるいは添付ファイルを開封するとマルウェアに感染します。
よくある誤解
ウイルス対策ソフトを導入しているから大丈夫!?
この攻撃では、ウイルス対策ソフトに検知されないようにカスタマイズされたウイルスを使用したり、ゼロデイ攻撃というアプリケーションなどの未知の脆弱性を利用したり、各種OSやソフトウェアのパッチ未適用といったスキが狙われることも多く、ウイルス対策ソフトでは完全に防ぎきれません。
また、フィッシングサイトを利用したクラウドサービスなどのIDやパスワード窃取も行われるため、ウイルス対策ソフトだけでは守ることができません。
感染してもすぐに気が付ける!?
目的の多くは、マルウェア感染させてデータを破壊することではなく、組織内に深く潜行し、重要なデータを外部に持ち出すことです。
多くの場合、初期症状が表れず攻撃されても気づきません。
サイバー犯罪の中で最も多いのが「フィッシング詐欺被害」
日本人の約3人に1人が
過去にサイバー犯罪の被害に遭ったと回答
日本人が経験したサイバー犯罪の中で最も多いのは、
フィッシング詐欺
約7人に1人がコンピュータやモバイル機器のウイルス感染、恐喝メール詐欺、モバイル/SMS詐欺を経験
参考:ノートン サイバー犯罪 調査レポート2023
2022年のサイバー犯罪被害総額は推定約1,045億円と被害は大型化
https://prtimes.jp/main/html/rd/p/000000029.000069936.html
ID・パスワードの窃取による「認証情報被害」
標的型メールから誘導された偽のログインフォームでログイン情報を入力させることで認証情報を窃取する攻撃者
窃取されたログイン情報から、クラウドサービスが乗っ取られる被害
乗っ取られたメールアカウントを使い、他のサービスまで芋づる式に被害に遭う
メール経由でのフィッシング詐欺やサイバー攻撃を防ぐには
攻撃者から送信されたメールが従業員のメールボックスに入らないようにしたり、従業員が添付ファイルなどを実行しないようにすることで、多くの攻撃を防ぐことができます。
がしかし、従業員がメールを適切に扱うことを期待する行動だけに頼ったセキュリティ対策では効果がありません。
メール経由で行われる攻撃対策の基本は次の通りです。
1. 悪意あるメールを従業員に届かなくする
2. 悪意あるメールを従業員が読まないようにする
3. 悪意あるメールを読んだ従業員がフィッシングサイトを閲覧したり、添付ファイルを開かないようにする
これらを実現するメール経由で行われる攻撃の有効策は次の通りです。
1. 技術的対策
- 端末・サーバーの設定やソリューション導入などによって脅威を低減
2. 技術的に止められない場合の対策
- インシデント対応力の強化
- 監視による検知・遮断
- インシデント報告の周知徹底
3. 認知能力(知識・経験)の向上
- 教育・訓練の継続
- メール開封前の確認手段を規定
4. その他
- ルールの周知徹底
- モニタリングの強化
- 技術的な個別制限など
従業員全員がメールの安全利用に関する知識とスキルを身につけることで、企業全体の情報セキュリティが向上します。
● 一般社員
● チームリーダーやマネージャー
● 営業担当者
● 事務職・管理職
● プロジェクトマネージャー
● 人事・総務担当者
企業の安全を確保!従業員向けメール安全利用検定講座
この講座では、従業員がメールを安全に利用する方法を学ぶことができます。企業全体の情報セキュリティを向上させることで、機密情報の漏えいやビジネスメール詐欺などのサイバー犯罪から企業を守ります。従業員が正しい知識を持つことは、企業の安全を確保する上で不可欠です。
ビジネスメール詐欺に立ち向かう!従業員のメールセキュリティスキルを磨く
この講座では、従業員がビジネスメール詐欺やフィッシング詐欺などのメールを介した攻撃から企業を守るためのスキルを習得します。昨今のサイバー攻撃の脅威がメール経由で行われることを認識し、代表的な攻撃手法の例を学ぶことで、従業員の詐欺メールを見分ける能力を向上させ、企業の情報資産を守ることができます。
情報漏えい防止の鍵を握る!従業員教育で企業のセキュリティ対策を強化
この講座では、従業員が情報漏えいを防止するための知識とスキルを習得します。メールの安全利用方法やフィッシング攻撃の見分け方を学ぶことで、企業全体のセキュリティ対策が強化されます。従業員一人ひとりが情報セキュリティに責任を持つことで、企業の情報漏えいリスクを軽減できます。
講師 上野 宣 氏
株式会社トライコーダ 代表取締役
奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の会社トライコーダを設立
- OWASP Japan 代表
- 株式会社Flatt Security 社外取締役
- グローバルセキュリティエキスパート株式会社 社外取締役
- 情報処理安全確保支援士 集合講習講師、カリキュラム検討委員会
- 一般社団法人セキュリティ・キャンプ協議会 理事・顧問
- 情報セキュリティ専門誌 ScanNetSecurity 編集長
- Hardening Project 実行委員
- JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー
- SECCON 実行委員
- NICT 実戦的サイバー防御演習 CYDER 推進委員
- 一般社団法人 ITキャリア推進協会 (JAIC) アドバイザリーボードメンバー
- 情報経営イノベーション専門職大学 (iU) 客員教員
- 第16回「情報セキュリティ文化賞」受賞
- 第11回 「ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 」受賞
主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』『めんどうくさいWebセキュリティ』『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数
レビュー/試験問題作成 大角祐介 氏
ISP、セキュリティベンダなどを経て、現在はネット企業にてセキュリティ部門に所属。
情報セキュリティスペシャリスト、CISSP、CISA等取得
主な著書に「新しいLinuxの教科書」「正しく怖がるフィッシング詐欺」など
受賞歴や発表歴など
- 「情報セキュリティワークショップin越後湯沢2022」ナイトセッション講師
- 「JPCERT/CC 感謝状 2020」受賞
- 「JPAAWG 4th General Meeting」講演 "フィッシングサイト発生時の対応"
- 「InternetWeek 2019」講演 "Webサイト改ざんにより盗まれるクレジットカード情報"
-
①セキュリティ意識の向上
従業員とシステム管理者がセキュリティに関する基本的な知識や最新の脅威に対する理解を深めることで、組織全体のセキュリティ意識が向上します。これにより、セキュリティリスクを回避しやすくなります。また、毎年継続して受講することにより教育効果を高めます。コンテンツ内で紹介している事例や新たな脅威やその対策などは定期的に更新されます。
-
②セキュリティ対策の適切な実施
従業員がセキュリティ対策の方法やツールの使い方を理解し、システム管理者がメール経由での攻撃に対する対策を適切に実施することで、企業の情報セキュリティが強化されます。
-
③インシデント対応力の向上
従業員とシステム管理者がインシデント発生時の対応方法を学ぶことで、迅速かつ効果的な対処が可能となり、被害の拡大を防ぐことができます。
-
④組織的なセキュリティ体制の構築
従業員教育やフィッシング対策、インシデント対応組織の立ち上げなどを通じて、組織全体で取り組むセキュリティ体制が構築され、持続的なセキュリティ対策が可能となります。
-
⑤信頼性とブランドイメージの向上
企業が従業員とシステム管理者に対して適切なセキュリティ教育を提供し、情報セキュリティ対策を実施することで、顧客や取引先からの信頼が向上し、ブランドイメージが強化されます。
-
⑥法規制遵守とリスク低減
セキュリティ教育を受講することで、関連法規制や業界標準に適合した対策が実施され、法的リスクや損失リスクを低減することができます。
攻撃の傾向について知る
・情報セキュリティにおける領域
・攻撃者は明確な意図と目的を持っている
・攻撃者による侵入は検知が困難になりつつある
・主な侵入の手口
・拡大するアタックサーフェイス
・ソーシャル・エンジニアリング
・フィッシングメール/事例
・フィッシングサイト/事例
・SMSを利用したフィッシング詐欺/事例
メール経由のサイバー攻撃
・メール経由で行われる主な攻撃
・ID・パスワードの窃取
・事例:ID・パスワードの窃取
・OTPを利用した二要素認証の突破
・SIMスワップ
・クレジットカード情報やネットバンク情報の窃取/事例
・マルウェア配布・実行による遠隔操作
・事例:正規メールの返信を装いマルウェア感染させる手口
・ランサムウェアによる脅迫や情報漏えい/事例
・ビジネスメール詐欺
・Business E-mail Compromise:BEC/事例
・メールアカウントの乗っ取り/事例
メールを利用した攻撃の手口
・メールの添付ファイルを利用した攻撃
・メール記載のURLクリック誘導型の攻撃
・メール以外の経路を利用した攻撃
メールを利用したソーシャルエンジニアリング
・不特定多数を狙ったフィッシングメールの例
・受信者を油断させるための手口
・本物のメールと同様の見た目
・送信元メールアドレスの偽装
・ドメイン詐称を確認・阻止する送信ドメイン認証の効果
・紛らわしいメールアドレスやURL
・メールアドレスの乗っ取り
・人が判断するのは難しい
・メールを利用した攻撃を完璧に防ぐことは困難
被害を大きくしないためにどうするか
・被害を拡大しないために個人が事前に取り組むべき事
・もしものときに備える
・何はともあれ報告
・もしも騙されてしまったら
受講概要
| 主催 | グローバルセキュリティエキスパート株式会社 |
|---|---|
| 受講料 | 初年度:11,000円/名(税込) 、2年目以降:8,250円/名(税込) ※1年間の公式トレーニング利用料金になります、コンテンツ内で紹介している事例や新たな脅威やその対策などは定期的に更新されます |
| 研修時間 | 60分 |
| 開催場所 | オンデマンド配信 |
| お申し込み | 別途お問い合わせをお願いいたします |
| 備考 |
|
コースのご案内
-
認定脆弱診断士
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する国内初、唯一の認定資格です。 「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に開発された教育カリキュラムです。
-
認定セキュアWebアプリケーション設計士
インターネットまたは内部ネットワーク向けに公開するWebアプリケーションをセキュアに構築するための要件や設計を学ぶ、短期集中の1日トレーニングです。
-
ゼロトラストコーディネーター
「ゼロトラスト」の概念を理解した上で、課題の克服と持続可能で管理されたセキュリティ運用を実現するためのステップをリードし、実践できることを目的としています。営業・企画職、セールスエンジニアやフィールドエンジニアの方におすすめです。
-
認定メール安全管理士
システム管理者向けに、メールシステムのセキュリティを強化するための高度な知識と技術を提供します。これには、メール経由での攻撃対策、メール送受信の仕組みや暗号化手法、ドメイン認証やサーバーのセキュア化などが含まれます。
