自社内製で標的型攻撃メール訓練を実施する際、

「訓練メール内のリンクをクリックした際にアクセスさせるWebサーバー」を用意する必要があります。
そのときに担当者が悩む事柄の一つに、

「このWebサーバー、社内と社外、どちらに設置すべき?」

ということがあります。この記事では、

  • ローカルIPアドレスとグローバルIPアドレスの違い
  • 社内設置できる条件と、できない場合の判断ポイント
  • 社内・社外設置の違い

についてわかりやすく解説していきます。


🧠 ローカルIPアドレスとグローバルIPアドレスの違いとは?

まずは前提知識として「IPアドレス」について整理しておきましょう。

種類説明使用例
ローカルIP
(プライベートIPアドレス)
社内ネットワーク内で使うIPアドレス。インターネットからは直接アクセスできない。192.168.0.5 など
グローバルIPインターネット上で一意のアドレス。外部からアクセス可能。203.0.113.10 など

プライベートIPアドレスに使えるのは「10.0.0.0~10.255.255.255」「172.16.0.0~172.31.255.255」「192.168.0.0~192.168.255.255」の範囲と決められているため、この範囲内にあるIPアドレスはローカルIPアドレスということになります。

🔒 ローカルIPは、外部からアクセスできない ため、社員が在宅勤務や外出先で訓練メールを開いた場合、そのリンク先にアクセスできなくなる可能性があります。


🏢 社内にWebサーバーを設置できる条件とは?

訓練用Webサーバーを社内ネットワークに設置したい場合、以下の条件を満たしている必要があります。

すべての訓練対象者が社内ネットワークに接続していること
→ テレワークや外出先からのアクセスなど、社外からのアクセスを想定しない場合に限ります。

社内からのみアクセスさせる訓練であること
→ たとえば、ファイル添付型や「内部関係者からのメールを装うパターン」など、社内のサーバーにアクセスさせることが不自然でない訓練シナリオであることが求められます。

訓練用にWebサーバーを設置できるネットワークインフラが社内にあること
→ サーバー設置、ファイアウォール設定、DNS登録などが行える環境が必要です。

訓練用に設置したWebサーバーにすべての訓練対象者がアクセスできること
→ 社内ネットワークの中でアクセス制限が行われていないことが必要です。

Webサーバーへのアクセスにホスト名またはドメイン名が利用できること
→ 訓練メール内にhttp://192.168.11.250/~ と記述するなど、URLにIPアドレスを利用すると迷惑メールとして判定されてしまう可能性が高いため、IPアドレスの代わりにホスト名やドメイン名を使えるよう、DNSの設定ができることも、条件として必要となる場合があります。


🌐 社外にWebサーバーを設置する必要があるケース

逆に、次のような場合は社外(クラウドや外部サーバー)にWebサーバーを設置する必要があります。

在宅勤務者や外出中の社員も訓練対象となる場合
→ ローカルIPではアクセス不可のため、グローバルIPで公開されているWebサーバーが必要です。

スマートフォンなど社外ネットワークからのアクセスを含む訓練を行う場合

訓練対象者全員からアクセスできるネットワーク上にWebサーバーを設置できない場合

Webサーバーの構築・管理に社内リソースが不足している場合
→ 外部サービス(Amazon AWS、Microsoft Azure、レンタルサーバサービス、標的型攻撃メール対応訓練実施キット、他社訓練実施サービスなど)を使えば、すぐに構築・運用が可能です。

✍️Webサーバーというと、データセンターに設置するような高価なサーバー機器を思い浮かべる方もいらっしゃるかもしれませんが、標的型攻撃メール訓練を実施するだけであれば、Windows11が動作する中古のパソコンが1台あれば十分です。

Windows10や11ではIISというWebサーバソフトが使えるようになっていますので、これを利用すれば標的型攻撃メール訓練を実施することが可能です。

訓練実施担当者のパソコンが訓練対象者全員からアクセスできる環境にある場合は、訓練実施担当者のパソコンをWebサーバー代わりにするということを検討してみても良いかもしれません。


⚖️ 社内設置か社外設置か?判断のポイントはこれ!

以下のチェックリストで判断してみましょう。

質問Yesなら…
社員はすべて社内ネットワークに常時接続しているか?社内設置が可能かも
テレワークなど社外に居る社員も対象に訓練を実施するか?社外設置が必要
セキュリティ上、社外公開を避けたいか?社内設置を検討
Webサーバーを設定、運用できるか?社内設置も可
訓練メール内リンクにグローバルアクセスが必要か?社外設置が必要

✍️社内にDMZ(DeMilitarized Zone)が設けられていて、DMZ内にWebサーバーを設置することができ、社内/社外の両方からWebサーバーにアクセスできる環境を構築できる場合は、DMZ上に訓練用のWebサーバを設置するという方法もあります。


💡 まとめ

比較項目社内設置社外設置
アクセス範囲社内限定どこからでも
セキュリティ高(閉域)要設定(公開)
管理負荷高い(自前構築)低い(外部委託可)
訓練対象限定(社内)全社員対象にしやすい

訓練の目的や対象範囲によって、設置場所は慎重に選ぶ必要があります。
「誰が」「どこから」「いつアクセスするか」 を明確にした上で、適切な構成を選びましょう。

なお、訓練自体は必ずしも社員全員を対象に実施する必要はないので、社内を対象とした訓練と、社外を対象とした訓練で分けて実施するという方法もあります。

例えば、社内の端末がマルウェアに感染し、社内の端末から社員に攻撃メールがばらまかれるといったシナリオでは、リンク先のWebサーバーにアクセスできない人がいたとしても、そこは無視して訓練を実施するというやり方も一つの方法です。

また、社内用と社外用でそれぞれWebサーバーを設置し、社内向けと社外向けで送信する訓練メールの内容を分けるというのも一つの方法です。

「社員全員がアクセスできないと訓練にならない」と考えるのではなく、訓練実施の目的、また、攻撃者が仕掛けてきそうな攻撃の手口なども考えながら、柔軟に実施方法を考えることをお奨めします。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。