フィッシング攻撃テストで25%の従業員がクリック
―KnowBe4のセキュリティ教育について教えてください。
情報セキュリティやフィッシング攻撃は、継続して起きる問題であり、完全に解決できるものではありません。当社のセキュリティ教育で、サイバー攻撃に対して企業の従業員が賢く判断できるようになります。
KnowBe4のセキュリティ教育では、まずベースラインテストを行います。これは、従業員を対象にフィッシング攻撃を行い、どのくらいの割合でフィッシングリンクをクリックするか確認するためのもので、企業内の25〜30%の従業員がクリックしますね。クリックした人にとっては「やらかした」瞬間になります。このタイミングでセキュリティ研修を行うと効果的です。
最後に、ソーシャルエンジニアリングテストの実施です。このテストは月1回または月2回の実施をお勧めしています。従業員のメール、ボイスメールそして携帯電話等のテキストメッセージに、疑わしいメールを送りますので、従業員が危険に気づきセキュリティ担当者に報告するか確認するトレーニングです。これにより、セキュリティ意識を高く保てます。
―フィッシング攻撃のシミュレーションについて教えてください。
何千通りあるテンプレートを使い、常に違うシミュレーション攻撃を実施しています。実際の攻撃をそのままテンプレートにする場合もありますが、悪意のあるメールを参考に独自で作成したテンプレートもあります。私たちは、毎日10,000〜15,000件の疑わしいメールを受信していますので、アイデアは尽きません。
当社のサービスの一つに、OutlookやG Suiteなどのメーラーに無料でアドオンできる「フィッシングアラームボタン」という機能をご提供しています。疑わしいメールを受信した際、このボタンをクリックするだけで、セキュリティ担当者にそのメールが転送されます。
従業員が「フィッシングアラームボタン」をクリックし、報告を受けた際にセキュリティ担当者が使えるアドオン機能「PhishER」もご用意しています。「PhishER」は疑わしいメールが本当に悪意あるメールか、単なるスパムかを分析します。本当に悪意があるメールは報告されたメールの10%程度で、残りの90%は単なるスパムメールです。「PhishER」でこれを識別することで担当者の負荷をかなり軽減できます。
KnowBe4のサービスに関しては、当社Webサイトで全て確認できますし、他社はやっていませんが、料金も全てWebで公開しています。 最も人気がある「Diamond」コースは、従業員数501から1,000人の企業で、1アカウント年間約20ドルです。先にお話したアドオン機能の「PhisheER」は1アカウント年間6ドル程度です。
日本でチャネルパートナーを探し始めた
―既に海外進出していますが、日本への進出について聞かせてください。
実はちょうど日本事務所を開設したところです。当社は、米国以外では直販しないため、日本のチャネルパートナーを探しています。
日本市場はとても興味深く独特です。企業向けソフトウェア市場としては、英国ではなく日本が世界2位ですが、セキュリティ教育やフィッシング攻撃のシミュレーションプラットフォームに特化した企業は日本にはありません。
また、日本は相手を信頼する文化があるため、例えば上司からメールが届いたら、なりすましを疑うことなくすぐに開く人が多いでしょう。これはサイバー犯罪において危険な行為です。当社のプラットフォームは、日本の皆さんが必要とするものだと思いますし、特に有益だと考えています。
