セキュリティチームのばーちゃんです!
本ブログでは、ユーザー(従業員)から報告されたメールを可視化する新しいダッシュボード機能を紹介します。
報告メールのデータがより見やすくなったので、スクリーンショットを見せながら解説していきます。また、報告メールに対する管理者の対応状況を可視化する機能もあります。お楽しみに!
3行まとめ
- セキュリオに「フィッシング報告ダッシュボード」が追加された
- 「フィッシング報告ダッシュボード」は、報告文化の浸透度や、メール種別、管理者の対応状況などを分かりやすく可視化してくれる
- 現状を正しく把握することで、ユーザー教育、メールフィルター強化、管理者の運用改善など、効果的な施策を打つことが可能になる
おさらい
セキュリオは、LRM株式会社が開発・提供しているセキュリティ教育クラウドです。
詳しく知りたい方は、こちらをご覧ください。
(参考)セキュリオの取り扱いを始めました!:https://blog.cloudnative.co.jp/26872/
セキュリオには、以下4つの主要機能があります。
- eラーニング
- セキュリティアウェアネス
- 標的型攻撃メール訓練
- フィッシング報告
新機能概要
本ブログでは、従業員が不審なメールを管理者に報告できる「フィッシング報告機能」に新たに追加された「ダッシュボード」を紹介します。この機能により、報告状況やメールの確認状況を視覚的に把握できるようになりました。
ダッシュボードは以下4つの画面(タブ)で構成されています。
- 報告状況
- 報告数の全体像と時系列での推移を確認できる。
- 報告内訳
- 報告されたメールの種類(フィッシング、スパム、誤検知など)の割合を把握できる。
- 報告人数
- 何人の従業員が報告したかを確認できる。
- 確認状況
- 管理者側の処理状況(確認済み、対応中、未対応など)を一覧できる。
参考までに、画面のスクリーンショットを添付します。
概要説明はサクッと終わってしまいますが、次の章では、各機能の嬉しい点と活用方法を解説します。
ここが嬉しい
「報告文化」の浸透度を確認できる
「報告人数」のグラフが右肩上がりなら、社内で「怪しいと思ったら報告する」という文化が定着してきている証拠です。逆に横ばいなら、周知活動が必要だと判断できます。報告がない場合、怪しいメールが届いていない可能性もありますが、昨今のフィッシングメールの量や巧妙さ、注意喚起の量を見ると、その可能性は低いと感じています。
フィッシングメールは、どんなに訓練を行っても、引っかかってしまう人は一定数存在します。攻撃側は一回成功すればいいですが、防御側は一回の失敗が命取りという分が悪い勝負です。そのため、「引っかからない」ことを目標とするなら、標的型メール訓練は意味を成さない(結果が出ない)という結論になります。
しかし、不審なものに引っかかってしまった、あるいは引っかかったかもしれないと気付いた際に、指定された窓口へ迅速に報告できるかをベンチマークとして確認することには意義があると考えます。報告さえ受けていればできることもあったのに……とならないためにも、報告文化を醸成していく指標として活用しましょう。
引っかかってしまう人や報告しない人は、同様の行動を繰り返す傾向があります。そのため、引っかかってしまうことを前提とした上で、適切に報告した人を評価する文化の醸成が必要です。その文化を育てながら、新卒・中途入社者や同じ行動を繰り返す人に対して、報告窓口や報告方法の追加研修などの個別フォローアップを行う際の指標としても活用できます。
メールの種別や報告の速度を確認できる
「報告内訳」を見れば、過去30日間に報告されたメールの種別や報告の速度を簡単に確認できます。
「訓練ではないメールの報告数」では、報告されたメールが安全だったのか、脅威だったのかを棒グラフや円グラフで確認できます。
💡ユーザーが報告するメールには2種類あります。
・セキュリオから送信された「訓練メール」を、ユーザーが報告する
・外部から送信された「訓練ではないメール」を、ユーザーが報告する
「安全」や「脅威」の判定は、セキュリオ管理者が行います。ただし、AIによる自動判定も可能です。AI自動判定機能については、以下の記事で詳しく解説しているので、興味のある方はご覧ください。
(参考)セキュリオ新機能:ユーザーから報告された怪しいメールのAI自動判定機能
https://blog.cloudnative.co.jp/29430
管理者がこの機能を活用する例として、思いつくのは以下です。
- メール種別の内訳が偏っていた場合(例:「安全」100件「脅威」0件)だった場合、ユーザーが何でもかんでも報告している可能性がある。
- なので、どんなメールが報告されているのか、なぜ報告しているのかを把握して、社内教育に活かす。
- 逆に「スパム」や「脅威」が多すぎる場合は、リスクが高まっていると判断して、メールフィルターの強化、特定のドメインからの受信拒否などを検討する。
いずれにせよ、報告メールが何件あって、どんな内容なのかを把握・確認することが大事です。そうしないと、集めたデータも役に立ちませんし、次の一手にも結びつきづらいです。
過去30日だけでなく、以下のスクリーンショットのように、月次での確認もできます。
グループごとの数値も確認できるため、自組織の状況把握に活用できます。
チームやグループによって偏りがあるかもしれません。例えば、〇〇部門からの報告メールは件数が少ないのに、〇〇部門からの報告メールは非常に多い、といったケースです。
報告メールが多いからといって、その部署が優秀だと短絡的に判断するのではなく、なぜ多いのか、なぜ少ないのかを丁寧に紐解くことで、組織の実態を明らかにできます。繰り返しになりますが、自組織の状況を正しく理解することが、効果的な次の一手につながります。こうした機能を現状把握のために活用していただければと思います。
管理者の報告メールへの対応状況が分かる
ここまでは、報告したユーザーや報告されたメールに焦点を当てた機能を解説してきました。次の機能は、報告を受けた管理者の対応状況を可視化するものです。管理者としては耳(目)が痛い数値が見えるかもしれませんが、現状を正しく把握しなければ改善もできません。腹をくくってチェックしましょう!
「確認状況」のグラフで、管理者の対応が滞っていないかをチェックできます。「未対応」が多い場合は、担当者を増やすか、先ほど紹介したAI自動判定機能の導入を検討してもいいかもしれません。対応平均時間が長い場合も、AI自動判定機能が活用できると思います。
あるいは、報告されているメールの内容を確認し、特定のユーザーやチームに教育を施すことで報告メールの数を減らしたり、脅威メールを送ってくるドメインを受信拒否したりと、できることは他にあるかもしれません。ただいずれにせよ、現状の可視化ができないことには始まらないので、この項目を確認して、チームや組織で議論の出発点にすると良いと思います。
(参考)セキュリオ新機能:ユーザーから報告された怪しいメールのAI自動判定機能
https://blog.cloudnative.co.jp/29430
過去30日間だけでなく、月次での確認も可能です。
月次で確認した際に、少しずつデータが改善しているとやる気も出ると思います。まずは「未確認」メールを減らすことから始めてもいいですし「対応時間」を早くしても良いです。全部いっぺんには無理なので、チームや組織として優先順位を付けて、ひとつずつ、着実に対応していきましょう!
Q&A
気になった点をLRM社へ問い合わせました。以下、回答を掲載します。
質問
- ダッシュボードの名称が複数あり、区別がつきにくくないですか?
- ダッシュボード1:[フィッシング報告] > [報告メール] > [ダッシュボード]
- ダッシュボード2:[フィッシング報告] > [ダッシュボード]
<回答>
- 今後統合する予定です。[フィッシング報告] > [報告メール] > [ダッシュボード]はクローズされます。
質問
- 「報告人数」タブの活用方法を教えてください。
- ダッシュボードの4つの画面(タブ)の中に「報告人数」があります。
- 機能設計の意図があれば知りたいです。
<回答>
人にフォーカスした分析をするために「報告人数」タブを用意しています。
全体の人数は「報告状況」で確認できますが、「報告人数」タブでは部署ごとの報告人数と割合を確認できます。メールをよく使う部署もあれば、ほとんど使わない部署もあるため、全体の数字だけで良し悪しを判断するのは難しいからです。
また、「報告人数」タブでは報告した人と報告していない人を実名で把握できるため、教育の重点化にも活用できます。
おわりに
本ブログでは「フィッシング報告ダッシュボード」について解説しました。組織の現状を常に可視化しておくことは非常に重要です。なぜなら、なんとなく「報告メールが多い」「最近対応が後手に回っている」と感じていても、実際の件数や内訳(「安全」「脅威」が何件ずつか)、対応時間(何時間かかっているか)が分からなければ、次の打ち手を考えるのが難しいからです。
現状を可視化することで、ユーザー教育を強化すべきか、迷惑メールフィルターを強化すべきか、管理者の運用を改善すべきか、どこに手を打つべきかが見えてきます。
セキュリティ施策の実施を命じられている管理者の方や、自発的にセキュリティ対策を実施したいが何から始めればよいか分からない方は、まずセキュリオのダッシュボードを開いて、自社の現状をチェックすることから始めてみてはいかがでしょうか?
