標的型攻撃メール訓練を実施する担当者に求められる知識と技術

訓練実施担当者に求められるスキルは意外とハイレベル

標的型攻撃メール訓練を実施することは、組織にとって非常に重要なセキュリティ対策です。

しかし、訓練を成功に導くためには、担当者が身につけておくべき知識と技術が多岐にわたります。特に内製化を進めるには、適切なスキルセットが必要です。

以下では、訓練実施担当者が知っておくべき知識や技術を、わかりやすく解説します。

✅求められるスキル①. サイバーセキュリティの基本知識

まずは、サイバーセキュリティの基礎知識をしっかりと押さえておくことが大前提です。これには以下の内容が含まれます:

  • フィッシング攻撃の理解
    フィッシング攻撃は、標的型攻撃メール訓練の根幹を成す要素です。攻撃者がどのようにしてターゲットを狙い、悪意のあるリンクや添付ファイルを仕掛けるのか、その手口を理解しておくことが求められます。
     
  • マルウェアとランサムウェア
    フィッシングメールには、マルウェアやランサムウェアが添付されていることが多くあります。これらの脅威がどのように動作し、どんな被害をもたらすのかを理解することが重要です。
     
  • 攻撃手法のトレンドを把握する
    サイバー攻撃の手法は日々進化しています。最新の攻撃トレンドや新たな攻撃手法を把握し、訓練に反映させることで、リアルな訓練が可能になります。

✅求められるスキル②. 実際の標的型攻撃の理解

標的型攻撃は、ターゲットに特化した攻撃であり、一般的なフィッシング攻撃とは一線を画します。訓練を行うにあたっては、攻撃者がどのようにターゲットを選定し、メールを巧妙に仕立て上げるのかを理解しておくことが不可欠です。

  • 攻撃者の心理を理解する
    標的型攻撃は心理的なトリックを利用しているため、攻撃者の思考や狙いを理解することが重要です。例えば、詐欺師がどのように緊急性や信頼性を訴えるのか、その技術を分析することで、よりリアルな攻撃メールを再現できます。
     
  • シナリオ設計能力
    内製訓練を行う場合、社員が実際に遭遇する可能性のあるシナリオを設計する能力が求められます。どのような業務内容に基づいて攻撃メールが送られるのか、特定の部署や役職に焦点を当てたシナリオを作成することで、訓練のリアリティが増します。

✅求められるスキル③. 攻撃に使われる技術の理解

攻撃の手口を理解するに際しては、攻撃で使われる技術に対する理解が必要です。攻撃者はどのような技術を悪用して攻撃を仕掛けてくるのか?使い古された技術から最新の技術まで、攻撃者はありとあらゆるものを組み合わせて、攻撃を成功させるためのアイデアを常に探っています。

  • HTML及びCSSの理解
    Webやメールで使われるHTML及びCSSは、不審なURLを隠蔽し、Webサイトやメールの見た目を本物であるかのように偽装するために使われます。リアルな攻撃メールを再現するためには、HTML及びCSSの理解が必要です。
     
  • JavaScriptの理解
    JavaScriptは悪意のあるプログラムを実行し、ランサムウェアをはじめとするマルウェアへの感染を成功させることに使われます。HTMLやCSSと同様、リアルな攻撃メールを再現するためには、JavaScriptの理解も必要です。
     
  • サーバー側で動作するプログラム言語の理解
    phpなどをはじめとする、Webサーバ側で動作するプログラム言語は、リンクをクリックしてWebサイトにアクセスしてきた人の情報を取得したり、IDやパスワードなどの個人情報を窃取するために使われます。訓練においては、誰が訓練メールに騙されてしまったのか?といった情報を把握する必要がありますので、こうした言語への理解も必要となります。
     
  • Webサーバの構築、運用に関する技術の理解
    攻撃がどのような手口で行われるか?を理解するには、攻撃者がWebサーバーをどのように悪用しているかを知ることも必要です。Webサーバを構築するにはDNSの技術について理解することも必要となり、よりリアルな攻撃を再現するには、避けて通れない技術と言えます。
     
  • メールサーバのセキュリティに関する技術の理解
    攻撃者から送られるメールをブロックするメールサーバのセキュリティ対策は日々進化していますが、訓練を実施するに際しては、メールサーバのセキュリティ対策が邪魔をして訓練メールが訓練実施対象者に届かないという問題に繋がります。このため、送信用及び受信用のそれぞれのメールサーバ側で実施しているセキュリティ対策について理解することは、訓練を成功させるためにも必要な知識となります。
     
  • クライアントPC側で実行されるプログラム言語や実行ファイルへの理解
    PowerShellやVBAなど、ユーザーのPC(クライアントPC)上で動作するプログラムは、ユーザーが使えば便利ではあるものの、攻撃者に悪用されれば、重要な情報の漏洩やファイルの暗号化などの被害をもたらします。攻撃者はどのようにしてこれらのプログラムを実行するのかについて理解することは、攻撃者が使う手口の裏側について理解することができることはもちろん、リアルな攻撃を再現するためにも必要となるものです。

✅求められるスキル④. 訓練の計画と分析・管理スキル

標的型攻撃メール訓練は単なるメール送信にとどまらず、計画的な実施結果の分析が求められます。

  • 訓練の目的設定
    訓練の目的を明確にし、その目的に基づいてKPI(重要業績評価指標)を設定します。例えば、開封率クリック率報告率など、訓練結果を定量的に測定する指標が必要です。
     
  • 進捗管理と結果分析
    訓練後の結果を分析し、どの部署がうまく対応できていたか、どのタイプの攻撃が効果的だったかを評価します。これにより、次回の訓練内容を改善し、より効果的な学習が可能になります。

✅求められるスキル⑤. 法的および倫理的な知識

内製で標的型攻撃メール訓練を実施する場合、プライバシーや法的な制約にも配慮する必要があります。

  • 個人情報の保護
    訓練中に社員の個人情報やプライバシーに触れることがありますが、GDPR個人情報保護法に準拠して行動することが求められます。訓練メールの内容に関しても、倫理的な配慮が必要です。
     
  • 倫理的なトレーニング
    訓練が社員に不安やストレスを与えないように配慮することも重要です。社員が訓練を通じて感じるストレスが、セキュリティ意識を高める一方で、過度な恐怖や不安を与えないように設計します。

✅求められるスキル⑥. ソーシャルエンジニアリングおよび心理学の知識

攻撃者は人の心理の隙を突き、ソーシャルエンジニアリングのテクニックを用いて攻撃を成功させようと試みます。人の心理について理解することは、リアルな攻撃を再現することに役立つだけでなく、訓練をスムーズに実施し、成果を出すためにも必要な知識となります。

  • ソーシャルエンジニアリングの手口
    具体的にどのようなソーシャルエンジニアリングの手口が使われているかを知り、自社ではどのような手口が使われそうかを考えることは、自社で実施すべき訓練のシナリオを考える上でも必要なことです。
     
  • 心理学の知識
    一方的に訓練を実施しても、社員からの賛同が得られなければ次に繋げることはできません。社員に不信感や拒絶感を持たれることのない訓練を設計するには、社員が訓練を通じて感じるストレスなど、社員の心の動きを理解できるだけの知識が必要です。

✅求められるスキル⑦. フィードバックと改善能力

訓練後のフィードバックを受けて改善を行う能力も重要です。訓練の効果を最大化するためには、社員から提示されたフィードバックを元に訓練内容を反復改善していくことが求められます。

  • 結果の振り返りと課題抽出
    開封率やクリック率のデータを基に、どの攻撃手法が効果的だったか、どの部分に社員が引っかかりやすかったかを振り返ります。それに基づいて、次回の訓練シナリオやメール内容を改善します。
     
  • 訓練のアップデート
    サイバー攻撃の手法が日々進化しているため、訓練内容も定期的にアップデートする必要があります。最新の攻撃手法を取り入れることで、社員が常に現実的な脅威に備えることができます。

✅求められるスキル⑧. 表現力と伝える能力

伝え方が9割」という本がベストセラーとなったことでもわかるとおり、訓練を成功させるためには、”大切なこと”を社員にどのように伝えるか?が重要です。

同じ訓練を実施するにしても、伝え方や言葉の表現の仕方一つで社員に与える印象は大きく変わり、適切でない表現や伝え方は誤解や反感を生む元となってしまいます。

例えば、初めての訓練ということで、誰もが不審とわかるようなやさしいシナリオで訓練を実施したものの、そのシナリオにした背景をきちんと説明していなかったことで、「こんな意味のない訓練に貴重な時間を使わせるなよ!」といった反感を持たれてしまった事例があります。

こうなってしまっては後の祭りですが、事前の説明をしっかり行うなど、訓練実施の背景をきちんと理解してもらう工夫をしていたら、結果はもう少し違ったものとなっていたかもしれません。

訓練に限らず、ビジネス全般を通して言えることではありますが、次のアクションに繋がる行動変容をもたらすのは、相手に合わせて適切な伝え方をすることができるかどうか次第です。

🎯まとめ

標的型攻撃メール訓練を内製で実施するには、以上に述べたように、広範な知識と技術が求められます。サイバーセキュリティの基礎知識から攻撃者の手法、シナリオ設計能力、訓練の進行管理、そして法的・倫理的な配慮、伝え方に至るまで、さまざまな要素を総合的に組み合わせることが成功の鍵となります。

訓練実施担当者は、これらの知識と技術を駆使して、組織全体のセキュリティ意識を高めることができれば、攻撃を未然に防ぐための力強い防波堤となることでしょう。

さて、以上のスキルを見て、ご自身はどのように思われましたでしょうか?

  • 自分にはハードルが高すぎる
  • 技術には自信あるけど、心理学なんて勉強したことないな
  • 法的な部分はちょっと苦手かも

などなど、思うところは色々あるかと思いますが、一つ言えることは、人材豊富な大手企業でも、これまで述べた8つのスキルを全て備えた人は非常に少ないということです。

セキュリティのプロが集まっている組織でも、標的型攻撃メール訓練の実施となると、上記の8つのスキルを備えた”訓練に精通した人材“というのはそうそういないものです。

逆に言えば、訓練の実施を通じて8つのスキルを磨くことができれば、非常にレアな人財となれるということです。そう考えると、訓練を実施する担当者になるということは、自身のキャリアを磨き、市場価値を高めるという点で、目の前に大きなチャンスが転がっていると言えるのではないでしょうか?

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示