見出し画像

セキュリオの機能をISMSの観点から見てみよう【標的型攻撃メール訓練】

いしはまゆうき@LRMの情報セキュリティコンサルタント

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第2回、今回は標的型攻撃メール訓練機能です!

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「標的型攻撃メール訓練」機能について

セキュリオ「標的型攻撃メール訓練」機能は、急増している脅威でもある標的型攻撃メールに従業員が引っかからないように実践的に訓練し、リテラシーアップすることのできる機能です。

あらかじめ30種類以上のテンプレートも登録されており、また、リンク式や添付ファイル式なども選ぶことができます。

ISMS観点から見る標的型攻撃メール訓練機能

標的型攻撃メール訓練機能は規格のどこに当てはまる?対応できる?

【規格本文】

  1. 6.1.3 情報セキュリティリスク対応/8.3情報セキュリティリスク対応
    この規格要求は、リスク分析の結果を考慮して適切なリスク対応を計画立てて実施するというものです。そのためもちろんこの機能が規格を満たすわけではありません。

    ただ前述のように、標的型攻撃メールという脅威は急増傾向にあり、すなわちリスクとして特定される可能性も高いため、その場合のリスク対応の一つとして、標的型攻撃メール訓練でリテラシー向上を目指すという選択肢も有効的になるかもしれません!

  2. 9.1 監視、測定、分析及び評価
    この規格要求は、有効性を評価するために監視・測定、分析・評価を行い、その結果の証拠を残しておくことが求められています。
    例えば標的型攻撃メールに引っかからないように取り組んできた各種ルールや対策が有効的に働いているか、標的型攻撃メール訓練機能を使って監視・測定、分析・評価を行なってみてもいいかもしれません。また、この機能で評価の結果の証拠を残しておくことも可能です。

【附属書A】

  1. 5.36 情報セキュリティのための方針群、規則及び標準の遵守
    こちらの要求事項では、組織の方針やルールなどを順守していることの定期的なレビューが求められています。
    この機能だけで充足することができないかもしれませんが、例えばメールの利用についてちゃんとルールを順守しているかレビューする手段として標的型攻撃メール訓練機能を使って確認してみてもよいかもしれません。

  2. 6.8 情報セキュリティ事象の報告
    こちらの要求事項では、情報セキュリティ事象を適切な経路で時機を失せず報告するための仕組みを設けることが求められています。
    標的型攻撃メール訓練機能には「不審メール報告機能」(現在はoutlook on the webにて利用可能)というアドインを用いることで不審なメールを見つけた従業者が管理者に報告できる機能も登場しているため、標的型攻撃メールの報告経路として活用することも可能です!

  3. 8.7 マルウェアに対する保護
    こちらの要求事項では、マルウェアに対する保護と合わせて、利用者の適切な認識が求められています。
    標的型攻撃メールもマルウェア感染の原因の一つになりますので、標的型攻撃メール訓練を行うことで利用者の適切な認識に寄与できるかもしれません。

標的型攻撃メール訓練機能を使うメリット

ここまでは標的型攻撃メール訓練機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオの標的型攻撃メール訓練機能を使うメリットについて考えてみましょう。

  1. 従業者がどの程度リテラシーを持っているか実践的に確認できる
    リテラシー向上の観点ではeラーニングなどの教育がやはりメインになってきますが、教育だとその知識が活用できる形で身についているか実際にインシデントなどの場面に遭遇しないとわからないことも多いです。
    その点、標的型攻撃メール訓練という方法であれば、従業者が標的型攻撃メールというリスクに対しどの程度の危機感や注意を持っているか、実践的に確認することが可能です。

  2. インシデント報告をスムーズに行うことができる
    通常の報告経路の場合、不審なメールを見つけた場合、誰にどのように報告するかなど迷ってしまったり、報告までに時間がかかったりします。
    一方、標的型攻撃メール訓練機能の不審メール報告機能を活用すれば開いたメール画面からそのまま報告を行うことが可能で最大限にスピーディーな対応を行うことができます。

まとめ

今回は第2回として「標的型攻撃メール訓練」機能を取り上げました。

実は、この機能自体はリテラシー向上がメインなこともあり、「ISMSで対応する規格要求はあまりなく書くこともないかな…」とちょっと心配だったのですが、改めて見直すと結構色々な規格に対応することができることがわかりました!

標的型攻撃メール訓練自体は必ず行わなければならないというものではないですが、行うことでより実践的なセキュリティレベルの向上につながりますし、また上手く使うことでISMSのより有効的かつ効率的な取り組みにもつながるかもしれません。


この記事が気に入ったらサポートをしてみませんか?