フィッシングシミュレーションは、ユーザのサイバーセキュリティ認識度を評価するためのすばらしい方法です。しかし、シミュレーションが終わったらどうなるのでしょう?Verizonが実施した2020年データ漏えい調査レポートによると、トレーニングとトレーニングの合間にクリック率は上昇し、報告率は低下しています。
フィッシングシミュレーションの限界
シミュレーション後に全体的な認識と報告率が低下する理由はいくつかあります。フィッシングシミュレーションは通常、テンプレートから作成されます。これは実際のものではないうえに、加工されたフィッシングメールです。それだけでなく、シミュレーションは、一度に多くのユーザに送信できるという点で一般的な内容のものになる傾向があります。
これらの理由により、一般的なフィッシングテストには、従業員が日々直面している現実が反映されていない可能性があります。その結果として、時間の経過とともにトレーニング体験の記憶は薄れてしまいます。
状況に合ったトレーニングの重要性
2020年9月、Journal of Cybersecurityは、標準的なフィッシングシミュレーションを含む、フィッシングトレーニングの有効性を調査したレポートを発表しました。「人間にとってのフィッシングの問題点の分類:フィッシングスケール」で、著者は、状況的な関連性のないシミュレートされたフィッシングがクリック率の低下につながることを明らかにしています。
ユーザが無関係なメールや取引のないブランドやベンダーからのメールに反応しないだろうことを考慮すれば、これは驚くべきことではありません。このレポートによると、結果的にクリック率が低下するため、企業が誤った安心感を抱いてしまうだけではなく、トレーニングの有効性に関して誤解を与えてしまう可能性があります。
さらに、このレポートには、実際のフィッシングメールに関して次のように書かれています。「クリック率はフィッシングの状況的な関連性に応じて変化し、状況的な関連性の高いフィッシングでは、長年のフィッシング認識トレーニングの実施にもかかわらず、クリック率が極端に上昇している」
つまり、このことから分かるように、メールが標的型になればなるほど、フィッシングの成功率は上がります。したがって、状況はトレーニングにとって非常に重要であり、状況的な要素が不足しているシミュレーションではクリック率は低くなりますが、それと同時に、有意義な教訓を与えられる可能性も低くなります。
[関連項目]フィッシング攻撃:検知機能をすり抜ける洗練された脅威
継続的なトレーニングの必要性
平均的なユーザは、ITやセキュリティの専門家ではありません。彼らにとって、サイバーセキュリティは、仮にあったとしても、年に1、2回受講するだけの必須講座に過ぎないかもしれません。これらの脆弱なユーザが認識を高めるためには、ランダムに送信されるフィッシングテストでは不十分です。
継続的なトレーニングを実施することで、サイバーセキュリティを常に心の留めておくことができます。多くのフィッシングトレーニングプラットフォームでは、管理者がトレーニングスケジュールを組むことができたり、さらには自動化したりすることもできます。これは、ユーザのトレーニングのリズムを維持する上で重要です。
ところが、予定されたトレーニングは、今日受けたシミュレーションと次回のシミュレーションの間に多くの問題が起こりうることを考慮していません。ビジネスのメールセキュリティソリューションの品質によっては、ユーザは、次に予定された模擬のフィッシングまでの間に5件のフィッシングメールを受信するかもしれません。シミュレーションが状況を反映していなかったならば、それは効果的なトレーニングセッションではなかったかもしれません。
それだけでなく、これらのフィッシングトレーニングプラットフォームには高額な費用がかかる可能性もあります。これは一部の中小企業にとって大きな問題です。また、多くのMSPにとって、時間とリソースを大量に消費する困難な問題にもなり得ます。
企業に必要なのは、フィッシング攻撃の間に、ユーザの不意を打って、トレーニングが最も必要な時(フィッシング被害を受けた)に、状況に合ったトレーニングを継続的に配信することです。
継続的なトレーニングと状況に合ったトレーニングを組み合わせる
継続的なトレーニングは、スケジュールを組んで配信するだけではなく、ユーザの行動に基づいて配信されるべきです。他のユーザよりもフィッシング攻撃に引っかかりやすいユーザもいますが、ほぼ全員が一度は被害を受けます。被害に遭った時、ユーザはすぐに追加のトレーニングを受けることが必要です。
理想的なシナリオでは、企業がすぐにインシデントや情報漏洩を発見します。しかしながら、フィッシングに関しては、漏洩が発生してからかなりの時間が経たなければ、多くの企業はそれに気がつきません。 Verizonによると、2019年には、データ漏洩の56%が発見されるまでに数ヵ月以上を要しました。
したがって、インシデントを発見するためには、次の二つのうち一つが必要です。まず、IT部門は、ユーザがフィッシングメールを受信したことを認識できなければなりません。次に、ユーザはそれを報告しなければなりません。残念ながら、ユーザが報告しない限り、IT部門にはフィッシングメールがフィルターをすり抜けたことを知る方法がないというケースが多くあります。Verizonによると、2020年にフィッシング報告を実施した企業はわずか24%であり、報告率が50%を達成した業界は皆無でした。
これらの課題に対処して、継続的で状況に合ったトレーニングを組み合わせて実施するために、VadeはVade for Microsoft 365のための自動化されたフィッシングトレーニングであるThreat Coachを開発しました。Threat Coachは2つの自動化技術を備えています。つまり、配信後にメール脅威を取り除くAuto-Remediateと、統合されているフィッシング報告機能であるVade Feedback Loopです。
Auto-RemediateとFeedback Loopは、Vadeがキャプチャした実際のフィッシングメールサンプルをThreat Coachに提供します。Auto-Remediateによってフィッシングメールが検出された場合、修復前にそのメールを操作したユーザは、Threat Coachのフィッシング認識トレーニングに参加するように要請されます。
ユーザは、さまざまな形式でフィッシングを認識する能力を評価する一連のインタラクティブな質問に回答するように指示されます。クイズで使われるフィッシングサンプルは、そのユーザが関わった元のフィッシングメールによって異なります。例えば、ユーザがMicrosoftのフィッシングメールをクリックした場合は、クイズにMicrosoftのフィッシングが使われます。
他のフィッシングトレーニングプラットフォームとは異なり、Threat Coachは完全に自動化されているため、テンプレートを作成したり、トレーニングの予定を立てたりする必要はありません。MSPにとって、これは、追加の費用をかけずにサイバーセキュリティサービスの付加価値を提供できる簡単な方法です。
貴社のユーザーは、今もフィッシングメールをクリックしてしまうことがありますか? ユーザーがトレーニングを最も必要としている時にフィッシングトレーニングを配信するVadeのやり方を知りましょう。
