企業にとって重要な資産である「情報」のまわりには、様々な脅威が存在している。そしてそうした脅威は日を置くごとに増大しており、多くの情報システム担当者の頭を悩ませているのが現実だ。とりわけ中堅・中小企業の場合、一人もしくは他の業務と兼任する情報システム担当者しか存在しないケースも珍しくない。そんな「一人情シス」にとって、膨大な日々の業務をこなしつつ、セキュリティ対策も手がけるというのは至難の技だと言える。そこで本連載では、セキュリティに関するホットなテーマを毎月取り上げつつ、一人情シスが効率的かつ効果的にセキュリティ対策を行えるよう現実的な視点でサポートしていきたい。

第9回は、「メールセキュリティ」の具体策についてだ。

従来ながらのアプローチでは難しいフィッシングメール対策

いまやメールは、組織に対するサイバー攻撃の最大の経路となっており、メールセキュリティ対策はすべての企業にとって古くて新しい最優先課題だと言えよう。なかでもとりわけ対策が急務とされているのが、標的型攻撃やランサムウェア攻撃に用いられるフィッシングメール対策である。フィッシングメールをはじめとする悪意あるメールのリンクや添付ファイルをうっかりクリックしてしまえば、システムがマルウェアに感染したり、アカウント情報が窃取されたりしてしまうことになる。

そしてひとたびアカウント情報が盗まれてしまった場合、攻撃者はそのアカウントのユーザーになりすましてより機密性の高い情報を窃取することも簡単にできてしまうことになる。そのリスクの大きさは想像できるはずだ。そしてフィッシングメールの厄介な点は、人間のセキュリティ意識の“穴”を突く攻撃であるため、どうしても一般的なセキュリティ製品だけではカバーしきれない部分が出てくることである。

「人」という最大のセキュリティ・ホールを埋めることが大事

このように、セキュリティ上の最大の弱点である「人」の脆弱性を解消するためには、効果的なセキュリティ意識向上テストやトレーニングを実施し、安全対策を講じることが重要となる。そしてそれを誰でも容易に実現できるソリューションが「Sophos Phish Threat」だ。

Sophos Phish Threatは、社内向けのテストフィッシングキャンペーンの実施、フィッシング判別のトレーニングおよびフォローアップ、実施レポートを通じて、自動化されたセキュリティ教育を従業員に実施するソリューションとなっている。基本的なものから高度なフィッシング攻撃まで、さまざまなテストを実施することで、組織におけるセキュリティ上の弱点を識別し克服することが可能なのだ。企業には、こうしたソリューションを積極的に活用し、システムだけでなく人間のセキュリティ・ホールも埋めることが強く求められているのである。

またソフォスでは、フィッシングメールを見破るための、フローチャートもダウンロード公開している。社員の教育に利用する価値がありそうだ。

最後に、あなたはフィッシングメールを本当に見破ることができるか? 現在ソフォスでは、「フィッシングメールをさがせ!」キャンペーンを実施している、是非自分はフィッシングメールを見破れるという自信を持っている方、フィッシングメールを見破る自身のない方も、ゲームにチャレンジしてみてはどうだろうか?なお、上位入賞者には、景品が贈呈されるそうだ。

監修:ソフォス

ソフォスは1995年の創立以来30年以上ITセキュリティ製品を取り扱うベンダーとして、150ヶ国28万社以上の法人企業と 1億人以上のユーザーに利用されている。さらに同社は、脅威データの収集、相関分析、解析を行い、ユーザーに最善な保護を提供し続ける「SophosLabs」を有し、24時間 / 365日新種の脅威に対処し監視・解析を行っている。
ソフォスのHPはこちら

セキュリティ業界の最新情報やソフォスの製品情報をお届けする
SOPHOS INSIGHTはこちら

フィッシングメール対策
Sophos Phish Threatはこちら

[PR]提供:ソフォス