この記事では、KSATコンソールでセキュリティ意識トレーニングと模擬フィッシングテストを実施するステップを説明します。詳細については、以下のセクションを参照してください。
ステップ1:ユーザーの追加
KSATコンソールにユーザーを追加して、模擬フィッシングメールを送信したり、トレーニングキャンペーンに登録したりできます。KSATコンソールにユーザーを追加する場合には、いくつかの方法を利用できます。以下のリンクから、これらのオプションと関連する記事を確認してください。
- ユーザープロビジョニング:このオプションは、ユーザーをKSATコンソールと同期して、ユーザーリストを長期的に維持できるため、推奨される方法です。KnowBe4のActive Directory統合(ADI)またはSCIMを使用して、KSATコンソールでユーザーを自動的にプロビジョニングできます。詳細については、「Active Directory統合(ADI)設定ガイド」または「SCIM設定ガイド」を参照してください。
- クイックインポート:この方法は、100人未満のユーザーをインポートする場合に有効です。詳細については、「ユーザーとグループ」の記事の「クイックインポート」のセクションを参照してください。
- CSVのインポート:この方法は、多数のユーザーをインポートする場合や、名前、電話番号、グループメンバーなどの他のユーザーデータを追加する場合に便利です。詳細については、「CSVファイルを使用してユーザーをインポートする方法」の記事を参照してください。
- その他:自社の特定の組織のユーザーをインポートする方法は他にもあります。これらの方法に関する助言が必要な場合には、KnowBe4のカスタマーサポートチームにお問い合わせいただくか、ナレッジベースの以下の記事を参照してください。
ステップ2:ベースラインフィッシングテストの実施
セキュリティ意識トレーニングプログラムを開始する前に、ベースラインフィッシングテストを全ユーザーに送信することを強くお勧めします。このベースラインテストは、セキュリティ意識トレーニングプログラムの出発点として利用できます。
ベースラインフィッシングテストを実施するときの推奨事項については、以下のサブセクションまたは「ベースラインフィッシングキャンペーン(フィッシングリンククリック)の実施方法」を紹介するビデオをご覧ください。
準備用のテストキャンペーン
ユーザーのベースラインフィッシングキャンペーンを作成する前に、ITチームなど、少人数のユーザーに限定したテストキャンペーンを少なくとも1回は実施することをお勧めします。
この準備用のテストキャンペーンの目的は、ホワイトリストにKnowBe4のアドレスが正しく登録されており、メールがスパムフィルタやファイアウォールを正しく通過することを確認することです。
この準備用のキャンペーンでは、クリックやその他のフィッシングテストで不合格となる操作がアカウントで追跡されることも確認します。テストメールに記載されている模擬フィッシングリンクをクリックして、不合格となる操作がアカウントで追跡されることを確認します。詳細については、「フィッシングキャンペーンの作成と管理」または「フィッシングキャンペーンの監視と確認方法」の記事を参照してください。
ベースラインの確立
準備用のフィッシングテストキャンペーンが成功したことを確認したら、全てのユーザーを対象としたベースラインフィッシングテストキャンペーンを実施します。このテストによって、組織の最初のフィッシング詐欺ヒット率(フィッシング攻撃への弱さ)が表示されます。この初回のフィッシング詐欺ヒット率は、今後セキュリティ意識を向上するための出発点と考えてください。初回のフィッシング詐欺ヒット率のデータを利用し、セキュリティ意識トレーニング計画の成功を測定することが可能になります。
ベースラインフィッシングキャンペーンを設定するときの推奨事項の詳細については、「ベースラインテストを設定するときの最適な方法」または「最初のベースラインテストではどのようなメールを使用する必要がありますか?」の記事を参照してください。
ITチームへのベースラインテストの送信
また、ベースラインフィッシングテストを、1回目はITまたはヘルプデスク部門に、2回目はそれ以外の従業員に、合わせて2回実施する方法もあります。これにより、ITやヘルプデスク部門以外の従業員が不審なメールを報告し始めたときに、ITやヘルプデスクの従業員はフィッシングテストを実施している状況を把握しているだけでなく、ベースラインアセスメントにも参加できるようになります。さらに、この方法は、KnowBe4のメールサーバーを効果的にホワイトリストに登録しており、ベースラインテストがすべてのユーザーの受信箱に配信されることを確認するうえで最適な方法です。
ステップ3:ユーザーのトレーニング
最初にセキュリティ意識トレーニングキャンペーンを実施する場合、45分間のKnowBe4セキュリティ意識トレーニングコース、または他の包括的なコースに全ユーザーを登録することをお勧めします。利用可能なトレーニングコンテンツについては、「ModStoreとライブラリのガイド」を参照してください。
最初のトレーニングキャンペーンを設定するときの推奨事項の詳細については、「セキュリティ意識向上トレーニングキャンペーンを初めて作成する」の記事を参照してください。
以下のリンクをクリックして、トレーニングキャンペーンの実施の詳細を確認してください。
- トレーニングキャンペーンの作成と管理
- 補習トレーニングキャンペーンの設定方法
- 動画:トレーニングキャンペーンの設定
- 動画:トレーニングキャンペーンの監視
- 動画:KnowBe4セキュリティトレーニングを開始するには
ステップ4:フィッシングとトレーニングキャンペーンの継続的な実施
フィッシングやソーシャルエンジニアリングの問題に対応できるようにするためには、フィッシングキャンペーンやトレーニングキャンペーンを継続的に実施することが不可欠です。
KnowBe4を利用するときには、「セキュリティ意識‐高」、「セキュリティ意識‐中」、「セキュリティ意識‐低」の3つのサンプルプランを選ぶことができます。これらのプランは、セキュリティ意識のレベルによって分類されています。組織の意識レベルは、セキュリティ意識トレーニングプログラムで達成する成熟度に基づきます。 各セキュリティ意識レベルの詳細については、「ベストプラクティスガイド」のKnowBe4を組織に効果的に統合する方法」の記事を参照してください。
自社に最適なプランがわからない場合は、以下のサブセクションにあるセキュリティ意識トレーニングの一般的な推奨事項を参照してください。
フィッシングキャンペーンを継続的に実施するときの推奨事項
少なくとも月に一度は全ユーザーにフィッシングテストを実施します。そのためには、次のような条件でフィッシングキャンペーンを毎月実施するとよいでしょう。
- 複数のメールカテゴリを追加し、さまざまなタイプのフィッシングテストを実行します。
- 1週間など一定の期間を置いてメールを配信します。そうすれば、ユーザーはいつフィッシングテストが実施されるのか分からなくなります。
- フィッシングテストで不合格になったユーザーを補習トレーニンググループに追加します。
全ユーザーを対象とする毎月のフィッシングテストに加えて、リスクの高い部門や、フィッシング攻撃を受けやすい従業員を対象とする追加テストを設定することをお勧めします。
どのような部門や従業員が組織にとって最もリスクが高いかを判断する方法については、Virtual Risk Officer(VRO)とリスクスコアガイドを参照してください。
フィッシングキャンペーンの作成とカスタマイズについては、以下の記事を参照してください。
トレーニングを継続的に実施するときの推奨事項
組織でセキュリティ意識トレーニングを継続的に実施するときの最低限の推奨事項を以下に示します。
- 補習トレーニンググループと補習トレーニングキャンペーンを作成します。補習トレーニングの詳細については、「補習トレーニングキャンペーンの設定方法」の記事や「補習トレーニングキャンペーン」のビデオをご覧ください。
- 役割ベースのトレーニングやその他の専門的なコースを使用して、特定のグループや従業員をトレーニングします。ModStoreを参照して必要なコースを見つけることをお勧めします。詳細については、「ModStoreとライブラリのガイド」を参照してください。
- 毎月のキャンペーンを設定して、ユーザーに「セキュリティの実践ヒント」のメールを送信します。詳細については、「セキュリティの実践ヒントのニュースレターとは?」の記事を参照してください。
- ユーザーが最新のフィッシング詐欺やソーシャルエンジニアリング詐欺に気付き、防御できるようにするために、キャンペーンを設定してユーザーに「今週の詐欺」メールを送信してください。詳細については、「「今週の詐欺」ニュースレターとは?」の記事を参照してください。