🔍 「自前」での訓練が注目されている?
標的型攻撃メール訓練に関する技術にあまり詳しくない方からすると、訓練は専門業者に委託して行うもの、というのが一般的なイメージかもしれません。しかし、
- 💸 業者に頼むとコストがかかりすぎる
- 📈 訓練内容をもっと柔軟に設計したい
- 🧠 社内にノウハウを蓄積したい
といった理由から、自社で自前で訓練を実施できないだろうか?と考える方も増えてきているようです。
サイバーセキュリティに本気で取り組もうとすると何かとお金がかかりますし、物価上昇に伴って出ていくコストも増える一方なので、自前で行うことで費用を抑えたいと考えるのも当然です。
では、実際に「自前」で訓練を行うには、何が必要で、いくらかかるのでしょうか?
今回は、最小コストで訓練を実施する方法について触れてみたいと思います!
なお、標的型攻撃メール訓練を実施する際の基本的な仕組みの解説については「標的型攻撃メール訓練は自作でできるか?」をご参照ください。
🧰 自前で訓練を行うために必要なものと費用一覧
| 📦 必要なもの | 📝 解説 | 💰 想定費用 |
|---|---|---|
| 訓練用メール文案(シナリオ) | 実際の詐欺メールを参考に、自社向けにアレンジ | 無料(自作) |
| メール送信ツール | Outlook / Gmail / SendGrid など | 無料〜月1,500円程度 |
| リンク先のページ | Webサイト | 無料(社内サイトを利用) |
| クリックログの取得 | URLにトラッキングパラメータを設定+Google Analytics等 | 無料 |
| 解説資料・注意喚起 | 「なぜ騙されたのか」を説明するPDFなど | 無料(自作) |
| 社内告知と実施計画 | 実施目的と注意事項をメールやイントラで告知 | 無料 |
| 社員リストと配信計画 | ExcelやGoogleスプレッドシートで管理 | 無料 |
| 結果の集計と報告 | クリック数や開封数を集計し、レポート作成 | 無料 |
メール送信ツールやWebサイトなど、社内に既にあるものを利用することができるのであれば、標的型攻撃メール訓練は費用0円(自社の人件費などの社内コストは考慮しない)で実施することが可能です。
但し、トラッキングパラメータを設定したURLを含む訓練メールを作成したり、リンク先のWebページを用意したりするなど、ツールを用いて自前で作業を行えるだけの知識があることが前提になりますので、そうした知識を持っている社員がいないとなると、必要な知識を調べて学ぶところから話が始まってしまうため、準備に数ヶ月以上かかっても構わないというのであればともかく、今すぐ実施したいといった場合は難しいかもしれません。
しかしながら、今はAIが普及していることで技術的なハードルはだいぶ下がっていますので、昔に比べれば、誰にでも取り組みやすい状況になっていることは確かです。
【参考情報】
標的型攻撃メール訓練を実施する担当者に求められる知識と技術
なお、費用0円で訓練に取り組むことは実際に可能ですが、作業効率や自社の人員コストなどを考慮すると、完全内製で費用0円で取り組むことが必ずしもベストだとは言えないという場合もあります。
とはいえ、お金は無いけど訓練は実施したいというように、コストをかけることがどうしても難しい状況にある場合は、費用0円で訓練実施にチャレンジするのも一つの選択ではあります。
💡 実際にどうやる?費用をほぼゼロに抑える運用手順
ここでは、「完全無料」に近い形で実施するステップを紹介します。
🪄 ステップ①:メール文面の作成(無料)
- 無償公開されているフィッシングメールの文例やテンプレートを参考に
- 文面には「偽ロゴ」や「焦らせる文言」を入れてリアルさを演出
- AIに文面を作ってもらうのもアリ
- 文中リンクには、トラッキングURLを設定(例:https://bit.ly/3xxxxx)
👉 注意:実際の企業名や本物のURLを使うと誤解や炎上のリスクがあるため避けること!
訓練メール内に記載するURLリンクのリンク先を社内のWebサイトのURLにする場合は、リンク先のURLが自社のURLであることから、不審なURLであると思ってもらえないので、実際のリンク先のURLをわからなくするために、bit.lyなどの短縮URLサービスを使うという方法があります。
📚 ステップ②:リンク先のサイトの作成(無料)
訓練メール内に記載したURLリンクをクリックしたら、訓練であることを示すページが表示されるよう、リンク先のサイトを用意する必要があります。
大抵の会社であれば対外的なホームページや社員用のホームページを運用しているかと思いますので、こうしたサイトを間借りすることができるのであれば、これらのサイト上にリンク先のページ(「これは訓練です」と説明するページ)を設定するのは一つの選択肢となります。
但し、リンク先のページにアクセスしたことがログとして取得できないと、誰がページにアクセスしたかがわからないため、アクセスログが取得できるかどうかは重要な確認ポイントになります。
アクセスログが取得できるサイトを会社で運用していない場合は、レンタルサーバサービスなどを利用することを検討する必要があります。
シンフリーサーバー(https://www.xfree.ne.jp/)など、無料で使えるサービスもありますので、こうしたサービスを使うのも一つの方法です。
なお、社内のネットワーク構成が単純で、全ての端末が相互にアクセス可能な環境である場合は、Windows11ではIISというWebサーバソフトが使えますので、ご自身の端末にIISをインストールし、Webサーバ代わりにするという方法もあります。
📩 ステップ③:メールの送信(無料〜)
- OutlookやGmailから手動で送信(少人数ならこれで十分)
- 社外SMTPを使いたい場合は、SendGridの無料プラン(月100通まで)も活用可能
少人数であれば、1通1通手作業で送るのも一つの方法ですし、ツールを自作する、もしくはフリーウェアなどを用いて一括で送信できるようにするのも一つの方法です。
簡単なメール送信ツールであれば、AIがプログラムを作ってくれたりしますので、このような方法で訓練メールを送信すれば無料で訓練メールを送信することが可能です。
但し、無料の場合は1日に送信できる件数に上限があったり、差出人アドレスを詐称するといったことができなかったりするなど、無料であるがゆえの制限がどうしてもありますので、状況によっては、訓練メールの送信に関しては費用をかけた方がよいという判断もあるかと思います。
🔗 ステップ④:URLクリックのログ取得(無料)
- GoogleフォームやGoogle Analyticsを利用
- bit.lyなどの短縮URLはクリック数の確認が可能
- 社内のサーバで取得しているアクセスログを利用
リンク先のURLを訓練メール送信先のアドレス毎にユニーク(一意)なものとすれば、各URLへのアクセスログ情報を取得することで、誰がリンクをクリックしたか?を把握することができます。
但し、アクセス元のIPアドレスやユーザーエージェント情報など、詳細な情報は取得できない場合もあるため、機械によるアクセスと人によるアクセスが混在するような場合は、正確な判断ができないこともありえます。
社内のWebサーバを利用できない、もしくは、利用できるが、取得できるアクセスログ情報の内容に制限があるなどの場合は、Amazon AWSやMicrosoft Azure、レンタルサーバといったサービスを利用して独自にWebサーバを用意する方が良いかもしれません。
レンタルサーバサービスの中には数百円~数千円といった費用で短期利用できるものもあるので、自由度を考えれば、こうしたサービスを利用するのも一つの選択です。
条件が合えば、ステップ②でご紹介した無料のレンタルサーバサービスを使うのも手でしょう。
📊 ステップ⑤:集計とレポート(無料)
- クリック結果をスプレッドシートにまとめる
- 結果から「誰が」「どの部署が」引っかかりやすかったのかを分析
一般的に、訓練を実施した際のURLリンククリック率は10%~30%くらいです。10人中数人がクリックという計算になるので、100人の社員がいる組織なら多くてもクリック者は30~40人くらいです。この程度の人数であれば、集計というほどの数ではないので、Webサーバから取得したアクセスログを元に、手作業で結果をまとめることも無理なことではありません。
社員数が多くなり、クリック者が増えると、集計の手間もクリック数に比例して増えますが、クリック率が10%以下なら、社員数1,000名の会社でもクリック者は100名もいないことになりますので、手作業でもこなせない範囲ではないと言ってよいと思います。
しかし、これ以上にクリック者が増えてくると、さすがに1件1件手作業で集計を行うのは大変になってきますので、ツールなどを使って作業を効率化するといったことを考える必要は出てくることになります。
📎 ステップ⑥:社員へのフィードバック(無料)
- 「なぜこのメールが怪しかったのか」を資料で解説
- 次回の訓練や座学で学びを深める仕組みづくりも◎
URLリンクをクリックしてしまった方に対しては、不審なリンクに気づくためのポイントなどについて学んでもらう必要がありますので、このための学習資料を用意することが必要になりますが、インターネットを検索すれば、フィッシング詐欺メールの見分け方について解説したブログ記事なども豊富にありますし、ChatGptなどのAIを用いれば資料のベースを作成することも簡単にできますので、こうした情報をまとめて社内資料として作成すれば、費用をかけずに事後教育を行うことができるかと思います。
⚠️ 自前実施の注意点
自前で行う際には、以下のポイントに注意しましょう。
- ✅ 訓練とわかるように設計し、本物と間違われないようにする
- ✅ 部門責任者の了解を得てから実施
- ✅ 社員の不安を煽らないよう「事後説明」を丁寧に行う
- ✅ 社内のセキュリティポリシーに抵触しないよう確認する
✨「できることから始める」が最良の第一歩
標的型攻撃メール訓練は、必ずしも高額な費用をかけなければできないものではありません。
自前でも十分な訓練効果を出すことができ、社員にとってはむしろ「自社が本気で取り組んでいる」と感じられるメリットもあります。
また、自前で行うことで、セキュリティ担当の社員のスキルを高める事に繋がるといったメリットもあります。
「標的型攻撃メール訓練を実施する担当者に求められる知識と技術」でご紹介しているとおり、訓練実施担当者に求められるスキルは多岐に亘り、自分自身の手で訓練実施作業を進めていくことで、これらのスキルが自然と身についていくことになります。
訓練を実施するのに何十万円~何百万円もかかると聞いて、「ウチじゃそんなお金は出せないからムリ!」と諦めていた方は、実際には工夫次第でなんとでもなるということをこの機会に知っていただき、是非、できることから始めてみていただきたいなと思います。
ちなみに、弊社で提供している標的型攻撃メール対応訓練実施キットを使うと、技術者ではない方でも、手軽にURLリンククリック型の訓練を実施することができます。以下に具体的な手順を記載したマニュアルを掲載しますので、ご興味を持たれましたら、是非、キットをトライアルしていただけたらと思います。
