使ってみる

KMSATコンソールクイックスタート実施ガイド

特集
Note:KnowBe4 Communityに参加しましょう!KnowBe4 Communityでは、他の管理者、パートナー、従業員と交流して、知識を共有し、新しいアイデアを交換して協力し合うことができます。詳細については、「KnowBe4 Communityガイド」を参照してください。

この記事では、KMSATコンソールでセキュリティ意識トレーニングと模擬フィッシングテストを実施するステップを説明します。詳細については、以下のセクションを参照してください。

ヒント:KMSATコンソールでトレーニングやテストを実施する方法の詳細については、Automated Security Awareness Program(ASAP)を使用するか、「ベストプラクティスガイド:KnowBe4を組織に効果的に統合する方法」の記事を参照してください。

リンク先:

ステップ1:ユーザーの追加

ステップ2:ベースラインフィッシングテストの実施

    準備用のテストキャンペーン

    ベースラインの確立

    ITチームへのベースラインテストの送信

ステップ3:ユーザーのトレーニング

ステップ4:フィッシングとトレーニングキャンペーンの継続的な実施

    フィッシングキャンペーンを継続的に実施するときの推奨事項

    トレーニングを継続的に実施するときの推奨事項

 

ステップ1:ユーザーの追加

KMSATコンソールにユーザーを追加して、模擬フィッシングメールを送信したり、トレーニングキャンペーンに登録したりできます。KMSATコンソールにユーザーを追加する場合には、いくつかの方法を利用できます。以下のリンクから、これらのオプションと関連する記事を確認してください。

ステップ2:ベースラインフィッシングテストの実施

セキュリティ意識トレーニングプログラムを開始する前に、ベースラインフィッシングテストを全ユーザーに送信することを強くお勧めします。このベースラインテストは、セキュリティ意識トレーニングプログラムの出発点として利用できます。

ベースラインフィッシングテストを実施するときの推奨事項については、以下のサブセクションまたは「ベースラインフィッシングキャンペーン(フィッシングリンククリック)の実施方法」を紹介するビデオをご覧ください。

重要:このステップを開始する前に、お使いのメール環境でKnowBe4のIPアドレスまたはドメインがホワイトリストに登録されていることを確認してください。この操作を行うときには、ホワイトリストウィザードを使用するか、「データとスパム対策フィルタ情報のホワイトリスト登録」の記事を参照して、使用しているメールクライアントやスパムフィルタをホワイトリストに登録する方法を確認してください。

準備用のテストキャンペーン

ユーザーのベースラインフィッシングキャンペーンを作成する前に、ITチームなど、少人数のユーザーに限定したテストキャンペーンを少なくとも1回は実施することをお勧めします。

この準備用のテストキャンペーンの目的は、ホワイトリストにKnowBe4のアドレスが正しく登録されており、メールがスパムフィルタやファイアウォールを正しく通過することを確認することです。

この準備用のキャンペーンでは、クリックやその他のフィッシングテストで不合格となる操作がアカウントで追跡されることも確認します。テストメールに記載されている模擬フィッシングリンクをクリックして、不合格となる操作がアカウントで追跡されることを確認します。詳細については、「フィッシングキャンペーンの作成と管理」または「フィッシングキャンペーンの監視と確認方法」の記事を参照してください。

ヒント:準備テストが終了したら、このテストキャンペーンを削除または非表示にして、レポートやリスクスコアに影響が及ばないようにしてください。

ベースラインの確立

準備用のフィッシングテストキャンペーンが成功したことを確認したら、全てのユーザーを対象としたベースラインフィッシングテストキャンペーンを実施します。このテストによって、組織の最初のフィッシング詐欺ヒット率(フィッシング攻撃への弱さ)が表示されます。この初回のフィッシング詐欺ヒット率は、今後セキュリティ意識を向上するための出発点と考えてください。初回のフィッシング詐欺ヒット率のデータを利用し、セキュリティ意識トレーニング計画の成功を測定することが可能になります。

ベースラインフィッシングキャンペーンを設定するときの推奨事項の詳細については、「ベースラインテストを設定するときの最適な方法」または「最初のベースラインテストではどのようなメールを使用する必要がありますか?」の記事を参照してください。

ITチームへのベースラインテストの送信

また、ベースラインフィッシングテストを、1回目はITまたはヘルプデスク部門に、2回目はそれ以外の従業員に、合わせて2回実施する方法もあります。これにより、ITやヘルプデスク部門以外の従業員が不審なメールを報告し始めたときに、ITやヘルプデスクの従業員はフィッシングテストを実施している状況を把握しているだけでなく、ベースラインアセスメントにも参加できるようになります。さらに、この方法は、KnowBe4のメールサーバーを効果的にホワイトリストに登録しており、ベースラインテストがすべてのユーザーの受信箱に配信されることを確認するうえで最適な方法です。

ステップ3:ユーザーのトレーニング

最初にセキュリティ意識トレーニングキャンペーンを実施する場合、45分間のケビン・ミトニックによるセキュリティ意識トレーニングコース、または他の包括的なコースに全ユーザーを登録することをお勧めします。利用可能なトレーニングコンテンツについては、「ModStoreとライブラリのガイド」を参照してください。 

最初のトレーニングキャンペーンを設定するときの推奨事項の詳細については、「セキュリティ意識向上トレーニングキャンペーンを初めて作成する」の記事を参照してください。 

以下のリンクをクリックして、トレーニングキャンペーンの実施の詳細を確認してください。 

ステップ4:フィッシングとトレーニングキャンペーンの継続的な実施

フィッシングやソーシャルエンジニアリングの問題に対応できるようにするためには、フィッシングキャンペーンやトレーニングキャンペーンを継続的に実施することが不可欠です。

KnowBe4を利用するときには、「セキュリティ意識‐高」、「セキュリティ意識‐中」、「セキュリティ意識‐低」の3つのサンプルプランを選ぶことができます。これらのプランは、セキュリティ意識のレベルによって分類されています。組織の意識レベルは、セキュリティ意識トレーニングプログラムで達成する成熟度に基づきます。  各セキュリティ意識レベルの詳細については、「ベストプラクティスガイド」のKnowBe4を組織に効果的に統合する方法」の記事を参照してください。

自社に最適なプランがわからない場合は、以下のサブセクションにあるセキュリティ意識トレーニングの一般的な推奨事項を参照してください。 

フィッシングキャンペーンを継続的に実施するときの推奨事項 

少なくとも月に一度は全ユーザーにフィッシングテストを実施します。そのためには、次のような条件でフィッシングキャンペーンを毎月実施するとよいでしょう。

  • 複数のメールカテゴリを追加し、さまざまなタイプのフィッシングテストを実行します。
  • 1週間など一定の期間を置いてメールを配信します。そうすれば、ユーザーはいつフィッシングテストが実施されるのか分からなくなります。
  • フィッシングテストで不合格になったユーザーを補習トレーニンググループに追加します。 

全ユーザーを対象とする毎月のフィッシングテストに加えて、リスクの高い部門や、フィッシング攻撃を受けやすい従業員を対象とする追加テストを設定することをお勧めします。

どのような部門や従業員が組織にとって最もリスクが高いかを判断する方法については、Virtual Risk Officer(VRO)とリスクスコアガイドを参照してください。

フィッシングキャンペーンの作成とカスタマイズについては、以下の記事を参照してください。

トレーニングを継続的に実施するときの推奨事項

組織でセキュリティ意識トレーニングを継続的に実施するときの最低限の推奨事項を以下に示します。

お探しの情報が見つかりませんか?

サポートへの問い合わせ
circle-arrow-up