KnowBe4のセキュリティ意識トレーニングプラットフォーム(KMSAT)を4つのステップで導入する
この記事では、自分のアカウントでセキュリティ意識トレーニングと模擬フィッシングテストを実施するステップを説明します。以下の各ステップのタイトルをクリックすると、詳細が表示されます。
ステップ1:ユーザーの追加
KnowBe4コンソールにユーザーを追加して、模擬フィッシングメールを送信したり、トレーニングキャンペーンに登録させたりすることができます。
ステップ2:ベースラインフィッシングテストの実施
ベースラインフィッシングテストをすべてのユーザーに送信し、フィッシング攻撃に対して最も弱い、つまり攻撃を受けやすいユーザーを調査します。
ステップ3:ユーザーのトレーニング
45分間のケビン・ミトニックによるセキュリティ意識トレーニングコース、または同様の包括的なセキュリティ意識トレーニングモジュールに全ユーザーを登録します。
ステップ4:継続的なフィッシングテストとトレーニングの実施
フィッシングテストをランダムに実施し、適切な結果が得られなかったユーザーに補習トレーニングを実施することで、ヒューマンファイアウォールを強化できます。
ヒント:
KnowBe4セキュリティ意識トレーニングプラットフォームの詳細については、Automated Security Awareness Program(ASAP)を使用するか、「ベストプラクティスガイド」を参照することをお勧めします。ステップ1: ユーザーの追加
KnowBe4のセキュリティ意識トレーニングプラットフォームにユーザーを追加する場合、いくつかのオプションを利用できます。以下のリンクから、これらのオプションと関連する記事を確認してください。
-
ユーザープロビジョニング:このオプションは、ユーザーをKnowBe4アカウントと同期して、ユーザーリストを長期的に維持できる推奨される方法です。
KnowBe4のActive Directory統合(ADI)またはSCIMを使用して、KnowBe4コンソールでユーザーを自動的にプロビジョニングすることができます。詳細については、「Active Directory統合(ADI)設定ガイド」または「SCIM設定ガイド」の記事を参照してください。 -
クイックインポート:この方法は、100人未満のユーザーをインポートする場合に有効です。
- 詳細については、「ユーザーとグループ」の記事の「クイックインポート」のセクションを参照してください。
-
CSVのインポート:この方法は、多数のユーザーをインポートする場合や、名前、電話番号、グループメンバーなどの他のユーザーデータを追加する場合に便利です。
- 詳細については、「CSVファイルを使用してユーザーをインポートする方法」を確認してください。
ユーザー管理に使用できるリソース
以下のリンクから、プラットフォームにユーザーを追加するときに役立つ記事を参照できます。
- 動画:ユーザーの追加/インポート
- ユーザーとグループのマニュアル
- CSVファイルを使用してユーザーをインポートする方法
- Active Directory統合(ADI)設定ガイド
- 「SCIM設定ガイド」の記事
- PowerShellを使用してActive Directoryからメールを取得する方法
- 複数のメールドメインの管理
ステップ2:ベースラインフィッシングテストの実施
セキュリティ意識トレーニングプログラムを開始する前に、事前の通告なしでベースラインフィッシングテストを全ユーザーに送信することを強くお勧めします。このベースラインテストは、セキュリティ意識トレーニングプログラムの出発点として利用できます。詳細については、以下のサブセクションを参照してください。
重要:
このステップを開始する前に、お使いのメール環境でKnowBe4のIPアドレスまたはドメインがホワイトリストに登録されていることを確認してください。この操作を行うときには、ホワイトリストウィザードを使用するか、「ホワイトリストガイド」を参照して、使用しているメールクライアントやスパムフィルタをホワイトリストに登録する方法を確認してください。
準備用のテストキャンペーン
ユーザーのベースラインフィッシングキャンペーンを作成する前に、ITチームなど、少人数のユーザーに限定したテストキャンペーンを少なくとも1回は実施することをお勧めします。
この準備テストキャンペーンの目的は、以下を確認することです。
- ホワイトリストにKnowBe4のアドレスが正しく登録されており、メールがスパムフィルタやファイアウォール保護を正しく通過することを確認します。
- クリックやその他のフィッシングテストで不合格となる操作がアカウントで追跡されることを確認します。テストメールに記載されている模擬フィッシングリンクをクリックして、不合格となる操作がアカウントで追跡されることを確認します。詳細については、 「個別のフィッシングキャンペーンの監視と確認」 を参照してください。
ベースラインの確立
準備用のフィッシングテストキャンペーンが成功したことを確認したら、全てのユーザーを対象としたベースラインフィッシングテストキャンペーンを実施します。このテストにより、自社組織の最初のフィッシング攻撃への弱さが表示されます。この初回のフィッシング攻撃への弱さは、今後セキュリティ意識を向上するための出発点と考えてください。初回のフィッシング攻撃への弱さのデータを利用し、セキュリティ意識トレーニング計画の成功を測定することが可能になります。
ベースラインフィッシングキャンペーンを設定するときの推奨事項については、 「ベースラインテストを設定するときの最適な方法」の記事を参照してください。
ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行しましょう!
また、ベースラインフィッシングテストを、1回目はIT/ヘルプデスク部門に、2回目はそれ以外の従業員に、合わせて2回実施する方法もあります。これにより、IT/ヘルプデスク部門以外の従業員が不審なメールを報告し始めたときに、ヘルプデスクの従業員はフィッシングテストを実施している状況を把握しているだけでなく、ベースラインアセスメントにも参加できるようになります。さらに、この方法は、KnowBe4のメールサーバーを効果的にホワイトリストに登録しており、ベースラインテストがすべてのユーザーの受信箱に配信されることを確認するうえで最適な方法です。
フィッシングリソース
以下のリンクから、ベースラインフィッシングテストを設定するときに役立つ記事を参照できます。
- ベースラインテストを設定するときの最適な方法
- 最初のベースラインテストではどのようなメールを使用する必要がありますか?
- 動画:1分間でわかるベースラインテスト:パスワードの変更(クリック)
- フィッシングキャンペーンの作成
ステップ3:ユーザーのトレーニング
最初にセキュリティ意識トレーニングキャンペーンを実施する場合、45分間のケビン・ミトニックによるセキュリティ意識トレーニングコース、または他の包括的なコースに全ユーザーを登録することをお勧めします。利用可能なトレーニングコンテンツについては、「トレーニングキャンペーンに追加できるModStoreコンテンツのタイプ」を参照してください。
トレーニングキャンペーンを初めて設定するときの推奨事項については、「従業員へのセキュリティ意識トレーニングの実施」の記事を参照してください。
トレーニングリソース
以下のリンクから、トレーニングキャンペーンを実施するときに役立つ記事を参照できます。
- ModStore
- 従業員へのセキュリティ意識向上トレーニングの実施
- トレーニングキャンペーンの作成と管理
- 補習トレーニングキャンペーンの設定
- 動画:トレーニングキャンペーンの設定方法
- 動画:トレーニングキャンペーンの監視方法
- 動画:KnowBe4セキュリティトレーニングを開始するには
ステップ4:継続的なフィッシングテストとトレーニングの実施
フィッシングやソーシャルエンジニアリングに対応できるようにするためには、フィッシングキャンペーンやトレーニングキャンペーンを継続的に実施することが不可欠です。
KnowBe4の「ベストプラクティスガイド」では、組織がKnowBe4を利用するときに選択できる3つのサンプルプランについて説明しています。これらのプランは、セキュリティの意識レベルによって分類されています。組織の意識レベルは、セキュリティ意識トレーニングプログラムで達成する成熟度に基づきます。以下の意識レベル別のプランをクリックして、詳細を参照してください。
自社に最適なプランがわからない場合は、以下のセクションにあるセキュリティ意識トレーニングの一般的な推奨事項を参照してください。
フィッシングキャンペーンを継続的に実施するときの推奨事項
少なくとも月に一度は全ユーザーにフィッシングテストを実施します。そのためには、次のような条件でフィッシングキャンペーンを毎月実施するとよいでしょう。
- 複数のメールカテゴリを追加し、さまざまなタイプのフィッシングテストを実行します。
- 1週間など一定の期間を置いてメールを配信します。そうすれば、ユーザーはいつフィッシングテストが実施されるのか分からなくなります。
- フィッシングテストで不合格になったユーザーを補習トレーニンググループに追加します。
全ユーザーを対象とする毎月のフィッシングテストに加えて、リスクの高い部門や、フィッシング攻撃を受けやすい従業員を対象とする追加テストを設定することをお勧めします。
- どのような部門や従業員が組織にとって最もリスクが高いかを判断する方法については、Virtual Risk Officer(VRO)とリスクスコアガイドを参照してください。
フィッシングキャンペーンの作成とカスタマイズについては、以下の記事を参照してください。
トレーニングを継続的に実施するときの推奨事項
組織でセキュリティ意識トレーニングを継続的に実施するときの最低限の推奨事項を以下に示します。
- 補習トレーニンググループと補習トレーニングキャンペーンを作成します。
- 補習トレーニングの詳細については、「補習トレーニングの設定方法」の記事または「補習トレーニングキャンペーン」のビデオを参照してください。
- 役割ベースのトレーニングやその他の専門的なコースを使用して、特定のグループや従業員をトレーニングします。
- ModStoreを参照して必要なコースを見つけることをお勧めします。詳細については、「ModStore」を参照してください。
- 毎月のキャンペーンを設定して、ユーザーに「セキュリティの実践ヒント」のメールを送信します。
- 詳細については、「セキュリティの実践ヒント」ニュースレターの設定方法を参照してください。
- ユーザーが最新のフィッシング詐欺やソーシャルエンジニアリング詐欺に気付き、防御できるようにするために、キャンペーンを設定してユーザーに「今週の詐欺」メールを送信してください。
- 詳細については、「今週の詐欺のニュースレターの設定方法」を参照してください。
コメント
0件のコメント
記事コメントは受け付けていません。