KnowBe4を自社の総合的なセキュリティ対策に統合するときのベストプラクティスをお客様から尋ねられることがあります。あらゆる組織や業界にそのまま導入できる万能なサイバーセキュリティの防御計画は存在しませんが、以下に示す計画例は、貴社が抱えているソーシャルエンジニアリング問題を管理する上で役立つ出発点となることを目的としています。
また、このベストプラクティスガイドと一緒に、Automated Security Awareness Program(ASAP)製品を利用することをお勧めします。この機能はコンソールに組み込まれており、強力なヒューマンファイアウォールを構築するための手順など、自社に合った詳細なセキュリティ計画を提供します。
KnowBe4の製品は、高品質なスパムフィルタ、ファイアウォール、ウイルス対策ソフトの代わりになるものではありません。KnowBe4の製品は、多層防御戦略の一環として、他の製品と併用するためのツールです。KnowBe4は、攻撃が他の防御メカニズムを突破したときに発生する問題に対処できるようにする、使いやすいプラットフォームを提供しています。従業員は最終防衛ラインです。KnowBe4のサービスを利用することで、従業員はサイバー攻撃から組織を守るための適切な備えを整えることができます。
第1ステップ:「フィッシング詐欺」に引っかからないようにするためのステップについては、以下の記事を参照してください。
この記事では、ユーザーのインポート、KnowBe4のメールサーバーのホワイトリストへの登録、コンソールのカスタマイズなどの手順について概説します。
第2ステップ:KnowBe4を統合するときの計画例「セキュリティ意識‐高」、「セキュリティ意識‐中」、「セキュリティ意識‐低」から選択します。
以下に、「セキュリティ意識‐高」、「セキュリティ意識‐中」、「セキュリティ意識‐低」の3つの計画例を示しています。これらの計画は、セキュリティ意識向上プログラムで達成したい成熟度レベルに基づいています。最高の成果を得るには、「セキュリティ意識‐高」の計画を取り入れることをお勧めします。しかし、KnowBe4のサービスをどのように導入すべきかを決定するのに最も適した人物は、あなたです。
どの計画を選択する場合でも、新しいスタイルのセキュリティ意識向上トレーニングの全ての計画の基盤は、3つのステップのプロセスから構成されています。このプロセスを以下に示します。
- フィッシングテストを実施し、自社のフィッシング詐欺ヒット率を把握します。
- ユーザーのセキュリティ意識に関する現在のナレッジレベルを評価します。次に、すべてのユーザーにセキュリティ意識向上トレーニングを割り当て、ユーザーのナレッジを強化します。
- フィッシングキャンペーンを継続的に実施します。これらのキャンペーンを実施することで、セキュリティ意識向上トレーニングで習得したスキルをユーザーが実践できます。
各計画を参照するには、以下のリンクをクリックしてください。
セキュリティ意識‐高
この計画は、セキュリティを常に意識させるようにユーザーに継続的にリマインドします。リスクの高い組織や機密情報を扱っている組織には、この計画を取り入れることを強く推奨します。
各ステップをクリックすると、詳細が表示されます。
- 関係者の理解を深める
- 事前通知なしのベースラインテストを完了する
- ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行する
- 従業員とコミュニケーションを図る
- ユーザーのセキュリティ意識を評価する
- 従業員をセキュリティ意識向上トレーニングに登録する
- Phish Alert Buttonをインストールする
- 自社のセキュリティカルチャーを評価する
- メールインシデントレスポンス管理の計画を強化する
- クリッカーグループを作成する
- ユーザーへのフィッシングを継続する
- セキュリティの実践ヒント/今週の詐欺の送信
- クリッカー向けの補習トレーニングキャンペーンの開始
- 四半期ごとの追加のセキュリティトレーニングのスケジュール
- 四半期ごとの追加の脆弱性テストの完了
関係者の理解を深める
プログラムから最大限の価値を得るためには、関係者からの支持を得ることが不可欠です。社内の関係者に送信するメールの例については、下記の記事をご覧ください。
事前通知なしのベースラインテストを完了する
セキュリティ意識トレーニングモジュールを使用してユーザーのトレーニングを開始する前に、事前の通告なしでベースラインフィッシングテストを全ユーザーに実施することを強くお勧めします。
このテストをセットアップする方法については、以下の記事の指示に従ってください。
また、事前通知なしのベースラインテストで使用するランディングページのタイプについても検討する必要があります。ランディングページを使用することで、フィッシングテストに対するユーザーの反応を評価できます。下記のリンクを参照して、さまざまなタイプのランディングページと、これらのランディングページに対するユーザーの反応について学んでください。
ITチームやヘルプデスクチームのためのベースラインテストに関するコミュニケーション
ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行する
また、ベースラインフィッシングテストを、1回目はIT/ヘルプデスク部門に、2回目はそれ以外の従業員に、合わせて2回実施する方法もあります。これにより、IT/ヘルプデスク部門以外の従業員が不審なメールを報告し始めたときに、ヘルプデスクの従業員はフィッシングテストを実施している状況を把握しているだけでなく、ベースラインアセスメントにも参加できるようになります。さらに、この方法は、KnowBe4のメールサーバーを効果的にホワイトリストに登録しており、ベースラインテストがすべてのユーザーの受信箱に配信されることを確認するうえで最適な方法です。
従業員とコミュニケーションを図る
ベースラインテストの後で、模擬フィッシングメールを受け取った従業員は混乱するかもしれません。フィッシングリンクをクリックしたユーザーは、自分が何か影響を受けるのではないかと心配するかもしれません。フィッシングキャンペーンのベースラインテスト期間が終了したら、テストが実施されていたことを周知し、テストを実施した理由を説明することをお勧めします。
テストを実施した理由を説明するときは、全員がセキュリティ意識向上トレーニングを修了することの重要性を伝える良い機会になります。組織や自分自身に対する潜在的な脅威をユーザーに伝えることで、トレーニングへの参加率を向上できます。 KnowBe4は、この目的のためのテンプレートを提供しています。このテンプレートは、以下のリンクから参照してください。
ユーザーのセキュリティ意識を評価する
セキュリティ意識向上トレーニングにユーザーを登録する前に、現在の自社の従業員のセキュリティ意識を把握し、今後どのように向上するかを確かめることが重要です。セキュリティ意識レベルの習熟度評価(SAPA)をユーザーに割り当て、7つの異なる領域についてユーザーのナレッジを評価します。最初にフィッシングテストを行い、トレーニングキャンペーンを実施する前に、SAPAを割り当てることをお勧めします。毎年継続的にユーザーにSAPAを割り当て、自社の強みと弱みがどのように変化しているのかを観察します。
アセスメントの追加やセキュリティ意識レベルの習熟度評価(SAPA)についての詳細は、以下のリンク先を参照してください。
従業員をセキュリティ意識向上トレーニングに登録する
ベースラインテストを実施したら、全てのユーザーを対象にセキュリティ意識向上トレーニングを実施する必要があります。トレーニングを実施する前に、 受講者ホームを設定し、トレーニングプログラムの一部としてゲーミフィケーションを取り入れるかどうかを決定する必要があります。
最初のトレーニングキャンペーンでは、全ての従業員を45分間のKnowBe4セキュリティ意識向上トレーニングまたは同様の包括的なトレーニングコースに登録することを強くお勧めします。 また、トレーニングキャンペーンにポリシーを追加し、ユーザーにポリシーの承認または確認するように求めることもできます。詳細情報:ポリシーの作成および管理
ユーザーがトレーニングを簡単に開始できるよう、KnowBe4の「使ってみる」のビデオへのリンクを送信することをお勧めします。各ビデオでは、サインオン設定に基づく固有の操作に関する手順と、受講者ホームの使用方法を説明します。以下のリンクから、自社に合ったビデオを見つけてください。
セキュリティ意識向上トレーニングキャンペーンを初めて実施する方法に関する推奨事項については、以下のリンクを参照してください。
ベストプラクティスガイド:最初のトレーニングキャンペーンの作成
Phish Alert Buttonのインストール
Phish Alert Button(PAB)は、ユーザーがセキュリティトレーニングに対話しながら参加できるようにする無料のツールです。PABは、メールクライアントのアドインとて提供されます(PABの互換性マトリックスはこちらを参照してください)。ユーザーは、PABを使用してフィッシングの可能性があるメールを報告できます。報告されるメッセージは、KnowBe4が送信した模擬フィッシングテストである可能性もありますし、実際のサイバー攻撃である可能性もあります。
PABの詳細と、PABをインストールした後にユーザーに通知する方法については、以下のリンクを参照してください。
ベストプラクティス:Phish Alertボタン(PAB)実装
自社のセキュリティカルチャーを評価する
セキュリティ意識向上トレーニングから最大の効果を得るためには、強固なセキュリティカルチャーを醸成する必要があります。セキュリティカルチャーは、組織のセキュリティに影響を与える考え方、習慣、社会的な行動によって定義されます。セキュリティカルチャー評価では、自社のセキュリティカルチャーを7つの異なる調査項目に分類します。この調査を使用して、自社でどの分野を強化できるか、また、セキュリティカルチャーが時間とともにどのように変化するかを確認してください。年に一度、ユーザーを対象に調査を継続し、セキュリティカルチャーのスコアがどのように変化しているかを確認します。
アセスメントの追加やセキュリティカルチャー評価(SCS)の詳細については、以下のリンク先を参照してください。
メールインシデントレスポンス管理の計画を強化する
PABを使用することを決定した場合、または、攻撃が疑われるメールや悪意のある可能性のあるメールを組織の指定のメールアドレスや部署に転送するようにユーザーに依頼する場合は、転送されたメールを管理し、効率的に分析および対応できる製品が必要になります。PhishERは、このような目的のために使用できるプラットフォームです。
PhishERを、脅威を検出および調査するために使用することで、潜在的なメールの脅威を特定し、セキュリティ対策と多層防御計画を強化できます。PhishERはPABとシームレスに連携し、報告されたフィッシングメールを管理できます。また、報告されたメールをPhishERの受信箱に転送することもできます。PhishERの詳細については、「PhishER製品マニュアル」を参照してください。
クリッカーグループを作成する
[ユーザー]をクリックし、[グループ]タブをクリックすると、新しいグループを作成するオプションが表示されます。ここでは、フィッシング詐欺に引っかかりやすいユーザー(クリッカー)のグループを作成できます。このグループを今後のフィッシングキャンペーンで使用したり、このグループ向けにフィッシングテストに不合格となったユーザーのための自動補習トレーニングを設定したりすることができます。プラチナおよびダイヤモンドレベルのサブスクリプションを契約されているお客様は、フィッシングテストに不合格となったユーザーを自動的にグループ化するスマートグループを作成することもできます。
全てのユーザーへのフィッシングを継続する
隔週のフィッシングテスト
「セキュリティ意識‐高」の計画では、全てのユーザーに対して少なくとも2週間に1回テストを実施することを推奨します。フィッシングテストを定期的に実施することで、従業員はセキュリティ意識向上トレーニングで習得したスキルを実践できます。
推奨される設定は下記を参照してください。この設定によりできるだけ多くのタイプのフィッシングメールを使用できるようになり、時間を置いてメールを分けて配信できます。この設定では、フィッシングメールが完全にランダムで送信され、フィッシングテストが行われていることを従業員が互いに警告できなくなります。
- [頻度]:隔週。
-
[送信時期]:少なくとも3営業日にわたってメールを送信します。
- この方法では、ユーザーに一度にメールが配信されることがなく、フィッシングテストが実施されていることを互いに警告することもできなくなります。
- [テスト実績の追跡]:フィッシングテストが不合格になったかどうかを少なくとも3日間追跡します。
- [返信数の追跡]:この設定を有効にすることを推奨します。フィッシングへの返信の詳細については、「フィッシングへの返信マニュアル」を参照してください。
-
[カテゴリ]:いくつかのテンプレートカテゴリを選択し、テンプレートのドロップダウンメニューから[完全ランダム]を選択すると、各ユーザーにランダムなテンプレートが割り当てられます。
- 対象外の言語、セキュリティの実践ヒント、今週の詐欺のカテゴリは除外します。
-
[難易度]:オプション
- 希望する場合は、選択するテンプレートの難易度を、1から5までの特定のレベルに限定することができます。
- [フィッシングリンクのドメイン]:ランダムなままにしておきます。
-
[ランディングページ]:オプション
- 全てのフィッシングテンプレートで使用する特定のランディングページを選択するか、デフォルトのままにします。
-
[クリッカーを追加するグループ]:ここでは、クリッカーのグループを選択できます。自動補習トレーニング用のスマートグループを作成している場合は、このフィールドは空白のままにしておきます。
- フィッシングテストで不合格になった場合、そのユーザーは選択したグループに追加されます。
- 隔週のフィッシングテストが完了した際に通知を受け取る場合は、[フィッシングテストの後に毎回、アカウント管理者にメールレポートを送信する]にチェックを入れます。
[標的型]または[現在のイベント]テンプレートを使用して毎月オプションの1回限りのテストを追加で実施する
全てのユーザーにすぐに使用したい新しいテンプレートを追加する場合もありますが、通常はクリックすることのないユーザーでも引っかかるような、独創的なフィッシングテストを実施したいと考える場合もあるでしょう。1回限りのテストを追加で設定して実施することで、独自性と関連性の高いフィッシングテストを継続的に行うことが可能になります。
「セキュリティ意識‐高」の計画では、自社または業界に合ったフィッシングテンプレートを従業員に使用したいと思われるでしょう。これらのテストは、ユーザーがフィッシングを見分ける能力を試すことができ、気を引き締めて取り組んでもらうために最適です。
テンプレートを1つだけ使用する場合は、ユーザーが模擬フィッシングメールを同時に受信できるように、ベストプラクティスとして[キャンペーン期間中にメールを分けて配信する]のチェックボックスをオフにすることをお勧めします。これにより、フィッシングテストが実施されていることをユーザー同士が注意し合う時間を最小限にすることができます。
クリッカーにオプションでのフィッシングテストを毎月追加で実施する
フィッシング詐欺に引っかかりやすいユーザーは、ソーシャルエンジニアリング攻撃を防御するために必要なスキルを習得するために、より多くのテストが必要となる場合があります。[クリッカー]グループのみを対象に継続的に実施するフィッシングキャンペーンを設定できます。このキャンペーンは、隔週で1度「完全ランダム」なフィッシングキャンペーンを実施するのと同様に設定し、多くのテンプレートカテゴリを選択し、キャンペーン期間中にメールを分散して送信することをお勧めします。また、まだ利用されたことがない場合は、この機会に「今週の実際にあったフィッシング攻撃」カテゴリも利用してみてください。
セキュリティの実践ヒント/今週の詐欺の送信
フィッシングテンプレートに加えて、[セキュリティの実践ヒント]と[今週の詐欺]のカテゴリも利用できます。[セキュリティの実践ヒント]は、オンラインや職場で安全に活動するための一般的なさまざまな方法をユーザーに伝えます。[今週の詐欺]は、最新のサイバーセキュリティおよびソーシャルエンジニアリング詐欺から自分を守ることができるように、ユーザーに最新の詐欺情報を提供します。
クリッカー向けの補習トレーニングキャンペーンの開始
フィッシング詐欺に引っ掛かりやすいユーザーに、受信したメールをより詳細に分析するように促すために、[クリッカー]グループを対象とした補習トレーニングキャンペーンを計画できます。
この場合、2週間に1度のフィッシングキャンペーンを定期的に実施するように設定するときに、[クリッカーを追加するグループ]に[クリッカー]グループも選択してください。
フィッシングキャンペーンを設定したら、クリッカー向けの補習セキュリティトレーニングを設定します。
プラチナまたはダイヤモンドレベルのサブスクリプションを契約されているお客様は、代わりにスマートグループを使用して自動補習トレーニングを設定することもできます。
四半期ごとの追加のセキュリティトレーニングのスケジュール
KnowBe4のセキュリティ意識向上トレーニングに加え、お客様の組織のセキュリティトレーニングのニーズを満たすために、KnowBe4はさまざまなトレーニングモジュールを提供しています。KnowBe4のトレーニングコンテンツのリスト、説明、およびプレビューについては、KnowBe4アカウントを使用してModStoreで閲覧できます。
ユーザーのセキュリティ意識を高いレベルで維持するために、四半期ごとにトレーニングを実施することをお勧めします。四半期ごとに新しいコースを割り当てることで、最新のコンテンツを利用しながら、ユーザーがセキュリティ意識向上トレーニングに継続的に取り組むことが可能になります。
可能な場合には、各部門に最も関連性の高いコンテンツを利用することも検討してください。例えば、クレジットカードに関連する機密データを扱う可能性のある従業員には、KnowBe4の「クレジットカードセキュリティの基礎」コースを受講させることができます。ModStoreのコンテンツをフィルタリングして、集中的に取り組む特定のトピックを見つけることもできます。また、[対象トレーニング]フィルタを使用することもできます。
最新かつ最高のコンテンツを常に利用できるように、プラチナレベルのサブスクリプションを契約されることをお勧めします。アカウントのアップグレードをご相談いただく場合は、お客様のカスタマーサクセスマネージャーまたはアカウントマネージャーにお問い合わせください。必要なサービスについて、お気軽にお問い合わせください。
四半期ごとに追加の脆弱性テストを完了する(プラチナ/ダイヤモンドのみ)
フィッシングリンクをクリックするユーザーの脆弱性を確認するだけでなく、年間を通じて追加の脆弱性テストを実施することをお勧めします。プラチナレベルのサブスクリプションを契約されているお客様が利用でき、KnowBe4コンソールから簡単に設定および管理できる機能について、以下に説明します。
- [USBドライブテスト]:ユーザーが持ち主が不明なUSBドライブを取得して、自分のコンピュータに接続する傾向があるかどうかを確認するために、KnowBe4のプラットフォームを使用してUSBドライブテストを実施できます。このテストでは、KnowBe4が提供している特別に設計されたファイルをUSBドライブに保存し、従業員が多く利用するオフィスの各所に放置します。USBドライブを自分のコンピュータに接続し、ファイルを開こうとしたユーザーに関するデータを追跡することができます。詳細は以下を参照してください。USBドライブテストの概要
進捗状況の確認
組織の進捗状況を時系列で確認するために、コンソール内のさまざまなレポートオプションを確認することをお勧めします。 利用可能なさまざまなレポートを分析することで、組織内の「弱点」が明らかになり、セキュリティトレーニングに重点的に取り組む必要がある領域が明確になるため、フィッシングテストやセキュリティトレーニングキャンペーンの今後の計画を立てるのに役立ちます。
ダッシュボードでは、自社のリスクスコア、フィッシング詐欺ヒット率、その他のデータの概要が表示され、セキュリティ意識向上プログラムの進捗状況を一目で把握することができます。また、さらにデータを掘り下げて、傾向を特定したり、トレーニングをまだ受講する必要があるユーザーを特定したり、フィッシングリンクをクリックする可能性が最も高いグループ、場所、部署を分析したり、ユーザーが最も多くクリックしたメールテンプレートを確認したりすることができます。
利用可能なレポートに関するリソースを以下に示します。
セキュリティ意識‐中
各ステップをクリックすると、詳細が表示されます。
- 関係者の理解を深める
- 事前通知なしのベースラインテストを完了する
- ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行する
- 従業員とコミュニケーションを図る
- ユーザーのセキュリティ意識を評価する
- 従業員をセキュリティ意識向上トレーニングに登録する
- Phish Alert Buttonのインストール
- メールインシデントレスポンス管理の計画を強化する
- クリッカーグループを作成する
- ユーザーへのフィッシングを継続する
- 自社のセキュリティカルチャーを評価する
- セキュリティの実践ヒント/今週の詐欺の送信
- クリッカー向けの補習トレーニングキャンペーンの開始
- 6か月ごとに追加のセキュリティトレーニングをスケジュールする
- 6か月ごとに追加の脆弱性テストを完了する
- 進捗状況の確認
関係者の理解を深める
プログラムから最大限の価値を得るためには、関係者からの支持を得ることが不可欠です。社内の関係者に送信するメールの例については、下記の記事をご覧ください。
事前通知なしのベースラインテストを完了する
セキュリティ意識トレーニングモジュールを使用してユーザーのトレーニングを開始する前に、事前の通告なしでベースラインフィッシングテストを全ユーザーに実施することを強くお勧めします。
このテストをセットアップする方法については、以下の記事の指示に従ってください。
ITチームやヘルプデスクチームのためのベースラインテストに関するコミュニケーション
また、事前通知なしのベースラインテストで使用するランディングページのタイプについても検討する必要があります。ランディングページを使用することで、フィッシングテストに対するユーザーの反応を評価できます。下記のリンクを参照して、さまざまなタイプのランディングページと、これらのランディングページに対するユーザーの反応について学んでください。
ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行する
また、ベースラインフィッシングテストを、1回目はIT/ヘルプデスク部門に、2回目はそれ以外の従業員に、合わせて2回実施する方法もあります。これにより、IT/ヘルプデスク部門以外の従業員が不審なメールを報告し始めたときに、ヘルプデスクの従業員はフィッシングテストを実施している状況を把握しているだけでなく、ベースラインアセスメントにも参加できるようになります。さらに、この方法は、KnowBe4のメールサーバーを効果的にホワイトリストに登録しており、ベースラインテストがすべてのユーザーの受信箱に配信されることを確認するうえで最適な方法です。
従業員とコミュニケーションを図る
ベースラインテストの後で、模擬フィッシングメールを受け取った従業員は混乱するかもしれません。フィッシングリンクをクリックしたユーザーは、自分が何か影響を受けるのではないかと心配するかもしれません。フィッシングキャンペーンのベースラインテスト期間が終了したら、テストが実施されていたことを周知し、テストを実施した理由を説明することをお勧めします。
テストを実施した理由を説明するときは、全員がセキュリティ意識向上トレーニングを修了することの重要性を伝える良い機会になります。組織や自分自身に対する潜在的な脅威をユーザーに伝えることで、トレーニングへの参加率を向上できます。 KnowBe4は、この目的のためのテンプレートを提供しています。このテンプレートは、以下のリンクから参照してください。
ユーザーのセキュリティ意識を評価する
セキュリティ意識向上トレーニングにユーザーを登録する前に、現在の自社の従業員のセキュリティ意識を把握し、今後どのように向上するかを確かめることが重要です。セキュリティ意識レベルの習熟度評価(SAPA)をユーザーに割り当て、7つの異なる領域についてユーザーのナレッジを評価します。最初にフィッシングテストを行い、トレーニングキャンペーンを実施する前に、SAPAを割り当てることをお勧めします。毎年継続的にユーザーにSAPAを割り当て、自社の強みと弱みがどのように変化しているのかを観察します。
アセスメントの追加やセキュリティ意識レベルの習熟度評価(SAPA)についての詳細は、以下のリンク先を参照してください。
従業員をセキュリティ意識向上トレーニングに登録する
ベースラインテストを実施したら、全てのユーザーを対象にセキュリティ意識向上トレーニングを実施する必要があります。トレーニングを実施する前に、 受講者ホームを設定し、トレーニングプログラムの一部としてゲーミフィケーションを取り入れるかどうかを決定する必要があります。
最初のトレーニングキャンペーンでは、全ての従業員を45分間のKnowBe4セキュリティ意識向上トレーニングまたは同様の包括的なトレーニングコースに登録することを強くお勧めします。 また、トレーニングキャンペーンにポリシーを追加し、ユーザーにポリシーの承認または確認するように求めることもできます。詳細情報:ポリシーの作成および管理
ユーザーがトレーニングを簡単に開始できるよう、KnowBe4の「使ってみる」のビデオへのリンクを送信することをお勧めします。各ビデオでは、サインオン設定に基づく固有の操作に関する手順と、受講者ホームの使用方法を説明します。以下のリンクから、自社に合ったビデオを見つけてください。
セキュリティ意識向上トレーニングキャンペーンを初めて実施する方法に関する推奨事項については、以下のリンクを参照してください。
ベストプラクティスガイド:最初のトレーニングキャンペーンの作成
Phish Alert Buttonのインストール
Phish Alert Button(PAB)は、ユーザーがセキュリティトレーニングに対話しながら参加できるようにする無料のツールです。PABは、メールクライアントのアドインとて提供されます(PABの互換性マトリックスはこちらを参照してください)。ユーザーは、PABを使用してフィッシングの可能性があるメールを報告できます。報告されるメッセージは、KnowBe4が送信した模擬フィッシングテストである可能性もありますし、実際のサイバー攻撃である可能性もあります。
PABの詳細と、PABをインストールした後にユーザーに通知する方法については、以下のリンクを参照してください。
ベストプラクティス:Phish Alertボタン(PAB)実装
メールインシデントレスポンス管理の計画を強化する
PABを使用することを決定した場合、または、攻撃が疑われるメールや悪意のある可能性のあるメールを組織の指定のメールアドレスや部署に転送するようにユーザーに依頼する場合は、転送されたメールを管理し、効率的に分析および対応できる製品が必要になります。PhishERは、このような目的のために使用できるプラットフォームです。
PhishERを、脅威を検出および調査するために使用することで、潜在的なメールの脅威を特定し、セキュリティ対策と多層防御計画を強化できます。PhishERはPABとシームレスに連携し、報告されたフィッシングメールを管理できます。また、報告されたメールをPhishERの受信箱に転送することもできます。PhishERの詳細については、「PhishER製品マニュアル」を参照してください。
クリッカーグループを作成する
[ユーザー]をクリックし、[グループ]タブをクリックすると、新しいグループを作成するオプションが表示されます。ここでは、フィッシング詐欺に引っかかりやすいユーザー(クリッカー)のグループを作成できます。このグループを今後のフィッシングキャンペーンで使用したり、このグループ向けにフィッシングテストに不合格となったユーザーのための自動補習トレーニングを設定したりすることができます。プラチナおよびダイヤモンドレベルのサブスクリプションを契約されているお客様は、フィッシングテストに不合格となったユーザーを自動的にグループ化するスマートグループを作成することもできます。
全てのユーザーへのフィッシングを継続する
毎月のフィッシングテスト
「セキュリティ意識‐中」の計画では、全てのユーザーに対して毎月1回テストを実施することを推奨します。 フィッシングテストを定期的に実施することで、従業員はセキュリティ意識向上トレーニングで習得したスキルを実践できます。
推奨される設定は下記を参照してください。この設定によりできるだけ多くのタイプのフィッシングメールを使用できるようになり、時間を置いてメールを分けて配信できます。この設定では、フィッシングメールが完全にランダムで送信され、フィッシングテストが行われていることを従業員が互いに警告できなくなります。
-
[頻度]:毎月。
- [送信時期]:[メール送信期間5-10営業日]
- この方法では、ユーザーに一度にメールが配信されることがなく、フィッシングテストが実施されていることを互いに警告することもできなくなります。
- [テスト実績の追跡]:フィッシングテストが不合格になったかどうかを少なくとも3日間追跡します。
- [返信数の追跡]:この設定を有効にすることを推奨します。フィッシングへの返信の詳細については、「フィッシングへの返信マニュアル」を参照してください。
-
[カテゴリ]:いくつかのテンプレートカテゴリを選択し、テンプレートのドロップダウンメニューから[完全ランダム]を選択すると、各ユーザーにランダムなテンプレートが割り当てられます。
- 対象外の言語、セキュリティの実践ヒント、今週の詐欺のカテゴリは除外します。
-
[難易度]:オプション
- 希望する場合は、選択するテンプレートの難易度を、1から5までの特定のレベルに限定することができます。
- [フィッシングリンクのドメイン]:ランダムなままにしておきます。
-
[ランディングページ]:オプション
- 全てのフィッシングテンプレートで使用する特定のランディングページを選択するか、デフォルトのままにします。
-
[クリッカーを追加するグループ]:ここでは、クリッカーのグループを選択できます。自動補習トレーニング用のスマートグループを作成している場合は、このフィールドは空白のままにしておきます。
- フィッシングテストで不合格になった場合、そのユーザーは選択したグループに追加されます。
- 隔週のフィッシングテストが完了した際に通知を受け取る場合は、[フィッシングテストの後に毎回、アカウント管理者にメールレポートを送信する]にチェックを入れます。
[標的型]または[現在のイベント]テンプレートを使用して毎月オプションの1回限りのテストを追加で実施する
全てのユーザーにすぐに使用したい新しいテンプレートを追加する場合もありますが、通常はクリックすることのないユーザーでも引っかかるような、独創的なフィッシングテストを実施したいと考える場合もあるでしょう。1回限りのテストを追加で設定して実施することで、独自性と関連性の高いフィッシングテストを継続的に行うことが可能になります。
「セキュリティ意識‐中」の計画では、これらの1回限りのテストでは、組織または業界に特化したテンプレートを従業員に使用することをお勧めします。
テンプレートを1つだけ使用する場合は、ユーザーが模擬フィッシングメールを同時に受信できるように、ベストプラクティスとして[キャンペーン開始時に全てのメールを送信]オプションを選択することをお勧めします。これにより、フィッシングテストが実施されていることをユーザー同士が注意し合う時間を最小限にすることができます。
自社のセキュリティカルチャーを評価する
セキュリティ意識向上トレーニングから最大の効果を得るためには、強固なセキュリティカルチャーを醸成する必要があります。セキュリティカルチャーは、組織のセキュリティに影響を与える考え方、習慣、社会的な行動によって定義されます。セキュリティカルチャー評価では、自社のセキュリティカルチャーを7つの異なる調査項目に分類します。この調査を使用して、自社でどの分野を強化できるか、また、セキュリティカルチャーが時間とともにどのように変化するかを確認してください。年に一度、ユーザーを対象に調査を継続し、セキュリティカルチャーのスコアがどのように変化しているかを確認します。
アセスメントの追加やセキュリティカルチャー評価(SCS)の詳細については、以下のリンク先を参照してください。
セキュリティの実践ヒント/今週の詐欺の送信
フィッシングテンプレートに加えて、[セキュリティの実践ヒント]と[今週の詐欺]のカテゴリも利用できます。[セキュリティの実践ヒント]は、オンラインや職場で安全に活動するための一般的なさまざまな方法をユーザーに伝えます。[今週の詐欺]は、最新のサイバーセキュリティおよびソーシャルエンジニアリング詐欺から自分を守ることができるように、ユーザーに最新の詐欺情報を提供します。
クリッカー向けの補習トレーニングキャンペーンの開始
フィッシング詐欺に引っ掛かりやすいユーザーに、受信したメールをより詳細に分析するように促すために、[クリッカー]グループを対象とした補習トレーニングキャンペーンを計画できます。
この場合、毎月フィッシングキャンペーンを定期的に実施するように設定するときに、[クリッカーを追加するグループ]に[クリッカー]グループも選択してください。
フィッシングキャンペーンを設定したら、クリッカー向けの補習セキュリティトレーニングを設定します。
プラチナまたはダイヤモンドレベルのサブスクリプションを契約されているお客様は、代わりにスマートグループを使用して自動補習トレーニングを設定することもできます。
6か月ごとに追加のセキュリティトレーニングをスケジュールする
KnowBe4のセキュリティ意識向上トレーニングに加え、お客様の組織のセキュリティトレーニングのニーズを満たすために、KnowBe4はさまざまなトレーニングモジュールを提供しています。KnowBe4のトレーニングコンテンツのリスト、説明、およびプレビューについては、KnowBe4アカウントを使用してModStoreで閲覧できます。
ユーザーのセキュリティ意識を高いレベルで維持するために、6か月ごとに新しいトレーニングキャンペーンを作成することをお勧めします。新しいコースを割り当てることで、最新のコンテンツを利用しながら、ユーザーがセキュリティ意識向上トレーニングに継続的に取り組むことが可能になります。
可能な場合には、各部門に最も関連性の高いコンテンツを利用することも検討してください。例えば、クレジットカードに関連する機密データを扱う可能性のある従業員には、KnowBe4の「クレジットカードセキュリティの基礎」コースを受講させることができます。ModStoreのコンテンツをフィルタリングして、集中的に取り組む特定のトピックを見つけることもできます。また、[対象トレーニング]フィルタを使用することもできます。
最新かつ最高のコンテンツを常に利用できるように、プラチナレベルのサブスクリプションを契約されることをお勧めします。アカウントのアップグレードをご相談いただく場合は、お客様のカスタマーサクセスマネージャーまたはアカウントマネージャーにお問い合わせください。必要なサービスについて、お気軽にお問い合わせください。
6か月ごとに追加の脆弱性テストを完了する(プラチナ/ダイヤモンドのみ)
フィッシングリンクをクリックするユーザーの脆弱性を確認するだけでなく、年間を通じて追加の脆弱性テストを実施することをお勧めします。プラチナレベルのサブスクリプションを契約されているお客様が利用でき、KnowBe4コンソールから簡単に設定および管理できる機能について、以下に説明します。
- [USBドライブテスト]:ユーザーが持ち主が不明なUSBドライブを取得して、自分のコンピュータに接続する傾向があるかどうかを確認するために、KnowBe4のプラットフォームを使用してUSBドライブテストを実施できます。このテストでは、KnowBe4が提供している特別に設計されたファイルをUSBドライブに保存し、従業員が多く利用するオフィスの各所に放置します。USBドライブを自分のコンピュータに接続し、ファイルを開こうとしたユーザーに関するデータを追跡することができます。詳細は以下を参照してください。USBドライブテストの概要
進捗状況を確認する
組織の進捗状況を時系列で確認するために、コンソール内のさまざまなレポートオプションを確認することをお勧めします。利用可能なさまざまなレポートを分析することで、組織内の「弱点」が明らかになり、セキュリティトレーニングに重点的に取り組む必要がある領域が明確になるため、フィッシングテストやセキュリティトレーニングキャンペーンの今後の計画を立てるのに役立ちます。
ダッシュボードでは、自社のリスクスコア、フィッシング詐欺ヒット率、その他のデータの概要が表示され、セキュリティ意識向上プログラムの進捗状況を一目で把握することができます。また、さらにデータを掘り下げて、傾向を特定したり、トレーニングをまだ受講する必要があるユーザーを特定したり、フィッシングリンクをクリックする可能性が最も高いグループ、場所、部署を分析したり、ユーザーが最も多くクリックしたメールテンプレートを確認したりすることができます。
利用可能なレポートに関するリソースを以下に示します。
セキュリティ意識‐低
各ステップをクリックすると、詳細が表示されます。
- 関係者の理解を深める
- 事前通知なしのベースラインテストを完了する
- ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行する
- 従業員とコミュニケーションを図る
- ユーザーのセキュリティ意識を評価する
- 従業員をセキュリティ意識向上トレーニングに登録する
関係者の理解を深める
プログラムから最大限の価値を得るためには、関係者からの支持を得ることが不可欠です。社内の関係者に送信するメールの例については、下記の記事をご覧ください。
事前通知なしのベースラインテストを完了する
セキュリティ意識トレーニングモジュールを使用してユーザーのトレーニングを開始する前に、事前の通告なしでベースラインフィッシングテストを全ユーザーに実施することを強くお勧めします。
このテストをセットアップする方法については、以下の記事の指示に従ってください。
ITチームやヘルプデスクチームのためのベースラインテストに関するコミュニケーション
また、事前通知なしのベースラインテストで使用するランディングページのタイプについても検討する必要があります。ランディングページを使用することで、フィッシングテストに対するユーザーの反応を評価できます。下記のリンクを参照して、さまざまなタイプのランディングページと、これらのランディングページに対するユーザーの反応について学んでください。
ヘルプデスクに過剰な負荷をかけることがないように、ITチームに最初にフィッシングテストを実行する
また、ベースラインフィッシングテストを、1回目はIT/ヘルプデスク部門に、2回目はそれ以外の従業員に、合わせて2回実施する方法もあります。これにより、IT/ヘルプデスク部門以外の従業員が不審なメールを報告し始めたときに、ヘルプデスクの従業員はフィッシングテストを実施している状況を把握しているだけでなく、ベースラインアセスメントにも参加できるようになります。さらに、この方法は、KnowBe4のメールサーバーを効果的にホワイトリストに登録しており、ベースラインテストがすべてのユーザーの受信箱に配信されることを確認するうえで最適な方法です。
従業員とコミュニケーションを図る
ベースラインテストの後で、模擬フィッシングメールを受け取った従業員は混乱するかもしれません。フィッシングリンクをクリックしたユーザーは、自分が何か影響を受けるのではないかと心配するかもしれません。フィッシングキャンペーンのベースラインテスト期間が終了したら、テストが実施されていたことを周知し、テストを実施した理由を説明することをお勧めします。
テストを実施した理由を説明するときは、全員がセキュリティ意識向上トレーニングを修了することの重要性を伝える良い機会になります。組織や自分自身に対する潜在的な脅威をユーザーに伝えることで、トレーニングへの参加率を向上できます。 KnowBe4は、この目的のためのテンプレートを提供しています。このテンプレートは、以下のリンクから参照してください。
ユーザーのセキュリティ意識を評価する
セキュリティ意識向上トレーニングにユーザーを登録する前に、現在の自社の従業員のセキュリティ意識を把握し、今後どのように向上するかを確かめることが重要です。セキュリティ意識レベルの習熟度評価(SAPA)をユーザーに割り当て、7つの異なる領域についてユーザーのナレッジを評価します。最初にフィッシングテストを行い、トレーニングキャンペーンを実施する前に、SAPAを割り当てることをお勧めします。毎年継続的にユーザーにSAPAを割り当て、自社の強みと弱みがどのように変化しているのかを観察します。
アセスメントの追加やセキュリティ意識レベルの習熟度評価(SAPA)についての詳細は、以下のリンク先を参照してください。
従業員をセキュリティ意識向上トレーニングに登録する
ベースラインテストを実施したら、全てのユーザーを対象にセキュリティ意識向上トレーニングを実施する必要があります。トレーニングを実施する前に、 受講者ホームを設定し、トレーニングプログラムの一部としてゲーミフィケーションを取り入れるかどうかを決定する必要があります。
最初のトレーニングキャンペーンでは、全ての従業員を45分間のKnowBe4セキュリティ意識向上トレーニングまたは同様の包括的なトレーニングコースに登録することを強くお勧めします。 また、トレーニングキャンペーンにポリシーを追加し、ユーザーにポリシーの承認または確認するように求めることもできます。詳細情報:ポリシーの作成および管理
ユーザーがトレーニングを簡単に開始できるよう、KnowBe4の「使ってみる」のビデオへのリンクを送信することをお勧めします。各ビデオでは、サインオン設定に基づく固有の操作に関する手順と、受講者ホームの使用方法を説明します。以下のリンクから、自社に合ったビデオを見つけてください。