アイエックス・ナレッジ社は2006年7月から、セキュリティ教育サービス「メル訓」を開始した。メル訓は、疑似スパムメールを従業員向けに抜き打ちで配信し、その開封状況や対応等を調査分析し、報告書を提出するという異色のセキュリティ教育サービスだ。いわば、抜き打ちで行う、火災などの避難訓練の、情報セキュリティ版と言ってもいいだろう。情報セキュリティ対策の推進にあたって、社員の不理解や、現場従業員の低いセキュリティ意識を、大きな障害としてあげる声は多い。しかし「社員の不理解」「現場従業員の低いセキュリティ意識」を、具体的に数字で把握する有効な方法は、これまでほとんど存在しなかったのが現状である。こうした意味でこの「メル訓」は、システムを対象とした一般的な脆弱性診断と異なり、組織を構成する「人間」を対象としたペネトレーションテストとしての意義も持っている。本サービスの概要や、某中央官庁で4年間にわたって実施されたという具体的な訓練結果について、アイエックス・ナレッジ株式会社 事業統轄本部 主任研究員の高濱 祐さん、同研究員 岩野 智昭さんのお2人に、SCAN編集部が話を聞く。アイエックス・ナレッジ株式会社http://www.ikic.co.jp/──SCAN編集部(以下SCAN):それでは、中央官庁で実際に行われた、メール訓練の結果について教えて下さい。アイエックス・ナレッジ社(以下 IKI ):実際にやってみると、ほとんどの人が訓練メールにひっかからないことがわかりました。SCAN:訓練用に送信されるメールの、下記の3つのカテゴリのうち、クリックされやすいものとされにくいものを挙げるとどうなりますか?(1)ウイルスメール(添付ファイルをクリックさせるタイプ等)(2)スパムメール(懸賞やアダルト、転職などを誘うタイプ等)(3)スピア型攻撃メール(フィッシングや詐欺、ビジネス絡みのメール)【取材/文:SCAN編集部】──この記事には続きがあります。全文はScan Security Management本誌をご覧ください。◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
