(編集部註:本稿は全文 7,182 文字です)
フィッシングメール対策について、よくある通り一遍の一般論や、単なる正論の説教ではなく、何か多少なりとも実のある話をできる企業の名を挙げるとしたら、まず間違いなくそこにはプルーフポイントの名が入るに違いない。
プルーフポイントは、電子メールを活用したグループウェアを開発しその事業を売却した資金でエリック・ハーンが創業、2013 年には MTA(Mail Transfer Agent)のデファクト企業 Sendmail を買収した。クラウドだなんだと皆が浮かれていた時期に、よく言えばレガシー、悪く言うと古くさい技術も新しい技術もモザイク状に重なり合う極めて厄介かつ煩雑な電子メールという領域でセキュリティ事業を行っていくことを実質的に宣言した。
Sendmail の M&A の資金をたとえば EDR などの領域にドカンと投資して、強欲な資本主義市場における評価を爆上げさせる道もあったろうにそうはしなかった。
さらに 2018 年には、Wombat 他のセキュリティアウェアネストレーニング大手を M&A して、「People-Centric Security」すなわち「人間中心のセキュリティ」を標榜するようになっていく。
技術のバベルの塔「電子メール」と「人間の脳ミソの脆弱性」という厄介かつ決定的な解決が難しい、別の表現をするなら「無理ゲー」的領域にわざわざ足を踏み込んできたのが プルーフポイント である。
そしてフィッシングメールこそまさに、人間の脆弱性を狙って電子メールを介して行われる攻撃である。このテーマに関してプルーフポイントほどフィッシングメール対策についての知見やノウハウを持つ企業も世界に他にあるまい。
日本プルーフポイント株式会社は 2025 年 11 月 27 日、都内で「フィッシングメール対策カンファレンス」を開催した。開会挨拶に登壇した同社 代表取締役社長 茂木 正之 氏は、枯れた技術のはずのメールセキュリティだが、近年問い合わせが増えており、主にランサムウェア攻撃への対策等のためにフィッシングメール対策やメールセキュリティの根本的見直しを行う企業が増えていると述べた。
「皆様からいただくのは、実装が楽で現在の設定を変更しなくて良い、高い検知性能を持つメールセキュリティのエンジンが欲しいという声です。同時に、技術的な対策では防ぎきれないことも知っていらっしゃるので、特に経営層が教育や啓発に関心を高めています(茂木氏)」
● 技術が鉄壁になるほど、攻撃者は「心」を狙う
茂木氏のあいさつを受けて SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘 氏が登壇し「ココロのスキマ、お見せします」と題した講演を行った。
ミュージシャンぽい雰囲気を持つセキュリティ技術者にたまにお目にかかるのだが、記者が思うに辻氏もその範疇に入るスピーカーだと思う。「情報を伝える」というよりも「聴く者の心を動かす」言葉選びのセンスがある。言ってることはわりと普通だったりするのだが、彼が発した言葉を聴いたときはじめてその意味が真からわかった気がするし、辻氏にしか言えない身体性がそこに必ずある。
講演では近年のフィッシングの攻撃の分類や特徴の解説なども行われたがそこは割愛して、聴いていて会場が最も心が動かされたに違いないコメントを引用することにする。
「被害にあった企業のリリースには『フィッシングメールでアカウントを盗られたことが原因』といった言葉を目にすると思います。しかし、これは本当の原因ではありません。なぜフィッシングに騙されたかまで掘り下げてください。それは騙された人を責めるためではありません。人間にパッチをあてることはできませんので、我々がセキュリティを意識させないようにしてあげるべきです。完璧を目指すのではなく今より良いセキュリティを目指しましょう(辻氏)」
● 研修実施のアリバイではなく 行動変容を促すトレーニング
基調講演以降は、製品紹介と同社の世界中のテレメトリーから得られた脅威動向とラボによる分析が紹介されるセッションとなる。
まずは、同社の人的セキュリティソリューションのひとつ「ZenGuide」の新機能紹介が行われた。登壇者は Proofpoint Inc. プロダクトマーケティング ラーニングキュレーション担当のキンバリー・パヴェリッチ氏。
ZenGuide は従業員のセキュリティ啓発やトレーニングを支援する教育ソリューションで、同社のメール対策ポートフォリオの中では、HRE(Human Risk Explorer)に分類される。さまざまなフィルタや検知をすり抜けて入ってきてしまった脅威、詐欺メールなどに対応する機能のひとつで、人間の脆弱性にフォーカスしたものだ。
ZenGuide は、単なるラーニングコンテンツの類(たぐい)ではなく、行動変容を促すことを目的に、個人や部署ごとの研修キャンペーンを作ることができる。理解度の変化等のアセスメントも細かく行うので、ハイリスクな部署や個人のスキルや特性に応じてセキュリティ研修を実施することができる。イメージとしては部署毎の業務特性や、個人の業務内容やレベル感等を熟知しているセキュリティに詳しい先輩が、横からアドバイスを簡潔に継続して行うようなソリューションと感じた。
たとえば、セキュリティ豆知識や研修コンテンツを Microsoft Teams を介して日常業務の中に溶け込ませて提供することなどができる。スコアや履歴をもとにゲーミフィケーション要素も取り入れることで継続性を持たせ、自発的な行動変容につなげていく。
● 翻訳から文化の移植へ AI が操る「偽りの日本語」をローカライズで迎え撃つ
パヴェリッチ氏が講演で特に強調した ZenGuide の改良点は、これまでありそうでなかったポイントだった。
「日本語と日本のビジネス慣習に合わせた大規模なコンテンツのローカライゼーションを行いました。トレーニングプログラム全体を、日本のビジネスシーン、日本で実際に起こる可能性の高い脅威に合わせました。さらに、2026 年には、AI による脅威ベーストレーニングや AI エージェント Satori の導入、テキストや画像のカスタマイズニーズへの対応、AI 活用によるパーソナライズの強化を予定しています。」
わざわざ書かないとわからない人が必ずいると思うので書くが、これは Juniper とかの外資の製品が「日本語にローカライズしました」などと日本国内販売から何年も経ってから言っているのとは訳が違う。プルーフポイントのアウェアネストレーニングはすでに日本語への翻訳はもう終わっていた。そこからさらに一歩も二歩も進めたんだ、というのがパヴェリッチ氏の言う「ローカライゼーション」である。
すでに完了しているローカライズをさらに洗練させるなんてプルーフポイントでもないとやらないことだと思う。VMware だったらこれを根拠に値上げしかねないのでは。これは要は、定期的に実施する「アリバイセキュリティ研修」ではなく「本当に結果が出るトレーニング」をやろうと全力になっているとしか思えないのだ。講演では「パーソナライズの強化」とあったが、下手をすると近い将来、「コンテンツの個社対応」機能すら提供しかねないと思う。
ローカライズ作業は、日本プルーフポイントのパートナー企業である JTP株式会社が中心になって行った。その詳細は同社 ICT 事業本部 クラウドソリューション事業部 サイバーセキュリティ部 部長代理 浪崎 潤一 氏が解説した。そもそもこの種のイベントでローカライズの担当者が登壇するなんてかつて見たことがない。翻訳の依頼先なんて通常は、リスペクトが含まれないニュアンスが若干含まれることもある「外注業者」とみなされており、カンファレンスに登壇するなど聞いたことがない。20 年セキュリティイベントの取材をしているが多分史上初である。
JTP がこのプロジェクトに関わる依頼を受けるきっかけは、既存の日本語コンテンツでは翻訳はされているものの教育効果が十分に発揮されていないという問題意識からだったという。
「 500 件のコンテンツを分類し、利用頻度の高いものから段階的に翻訳を進めていきました。専門知識を持つエンジニアや外国籍を持つ社員らが翻訳を担当し、技術的な正確性を担保しながら、自然な日本語表現を両立させました。翻訳は英文を日本語にするだけではなく、シチュエーションやビジネス習慣なども、日本企業向けにアレンジしています(浪崎氏)」
生成 AI による超なめらかな日本語のフィッシングメール等の脅威を、違和感がなく腑に落ちる日本語のセキュリティ研修コンテンツで迎え撃つ対立構造を感じた。
● 人の目による直感を通報によって最大限生かす
AI による機能拡張は ZenGuide に留まるものではなく、プルーフポイントのソリューション全般にも活用されている。同社 スタッフセールスエンジニア, CISSP, CCSP 佐藤 剛 氏が解説を行った。
プルーフポイント のメールセキュリティの構成は下記の通り。これが冒頭挨拶で代表の茂木氏が述べた「高い検知性能を持つメールセキュリティのエンジン」の内訳でもある。
・ Proofpoint CEP (Core Email Protection ): Eメールプロテクション、既知の脅威をブロック
・Proofpoint TAP(Targeted Attack Protection):サンドボックスによる未知の攻撃をブロック
・ Proofpoint TRAP(Threat Response Auto-Pull):受信箱の中の脅威を排除
・ Proofpoint CLEAR(Closed-LoopEmail Analysis and Response):通報ベースの悪性メールの排除
・ Proofpoint TAP URLアイソレーション:Web分離環境でメール内のURLへアクセス
・ Proofpoint TAP SaaS Defense:認証情報の問題を可視化
・ Proofpoint HRE(Human Risk Explorer):個別のリスクレベル分析・VAP(Very Attacked Person)検知
これらの検知技術のコアとなるのが「 Nexusプラットフォーム」である。Nexus は、たとえば難読化されたスクリプトや隠された URL などを検知・対処したり、大量のメールボムをさばいたり、QR コードを利用した攻撃にも対応できる。他社製品では見落としがちな HTML ファイルに偽装したマルウェアも検知する。
佐藤氏のセッションで注目を集めたのは、受信箱の脅威を排除する Proofpoint TRAP と、通報機能を組み合わせて悪意あるメールを排除するProofpoint CLEAR の動作デモだった。 Proofpoint CLEAR は、Microsoft Outlook などのメールクライアントに「通報」のボタンを設置することができ、エンドユーザーがその場で怪しいメールを通報することができる。情報はすぐに社内で共有され、同じメールを受け取った他のユーザーにも通知を届けることができる。
「通報ボタンを押すとそのメールは削除され Proofpointの脅威インテリジェンスによる分析が開始されます。悪性と判断されたら他ユーザーの同じメールもすべて削除されます。通報者にはお礼のメールと処理結果が、メールが削除された他のユーザーにはその旨通知が届きます。一連の作業はすべて自動化されていますので、不審メールの対応時間が劇的に短縮されます(佐藤氏)」
AI で検知精度と速度を上げることと併行し、「人の目」と「直感」というデジタル化不可能なセンサーを用いて脅威を排除するという AI と人間の協働モデルが提案されており。今後の発展が楽しみである。
脅威動向のセッションでは同社 プリンシパルセキュリティアドバイザー 内田 浩一 氏が登壇し、詐欺メール等で認証情報を窃取するクレデンシャルフィッシングが急増しており、生成 AI の活用でメール文面が言語の壁を超えたことに言及した。入り口対策とレジリエンスや内部対策を含めた全体の最適化が重要であり、多くの企業が侵入に気付く事が出来ていない現状から、改めて入り口対策を見直す必要性が高まっていると指摘した。
● パネルディスカッション:ランサムウェア攻撃事例に学ぶ
カンファレンスの最後は、プルーフポイント製品のユーザー企業のセキュリティ担当者によるパネルディスカッションだ。登壇者は、AGC株式会社 情報システム部 谷口 達郎 氏、コスモエネルギーホールディングス株式会社 IT 推進部 山岸 正和 氏、サントリーホールディングス株式会社 デジタル本部 情報システム部 宮崎 倫行 氏の 3 名。モデレーターとして日本プルーフポイント株式会社 チーフエバンジェリスト 増田 幸美 氏が加わった。奇しくも(くしくも)本カンファレンスが開催された 11 月 27 日は、アサヒグループホールディングス株式会社のランサムウェア攻撃被害の記者会見が行われた日でもあり、何かシンクロニシティめいたものすら感じた。
なお本稿の当該パートのみ、発言の内容をある程度抽象化して記載し、発言者や所属とは一切紐付けない、チャタムハウスルールに沿って執筆する。登壇者がこの業種なのでご理解いただけると思う。
ディスカッションはインシデント対応の話から始まった。議論の中で、まず近年のランサムウェア攻撃の変化について以下のような指摘があった。
「インシデント時の情報開示の仕方の変化と、我々 B 向けの製造業としての気づきを与えてくれました。今回のケース(アサヒHD )では被害が甚大だった場合への備えの重要性を感じました」
アサヒグループホールディングスのインシデント対応の行動力を称賛する声もあがった。
「まず驚いたのは、インシデント発生から 4 時間でネットワーク遮断、業務停止を決断できたことです。経営層しかこの決断は下せないと思いますが、そのような想定や体制、シナリオはどうなっていたんだ、と考えさせられました」
さらにディスカッションは BCP への意識改革の必要性にまで及んだ。
「あの事件以降、経営層とのコミュニケーションが増えています。とくに経営層が気にしているのは、インシデント時の訓練や演習です。我々セキュリティ担当者はサイバー訓練などを粛々とこなしていますが、現場サイトでシステムダウンしたときの対応が、復旧を待つだけになってはもったいない。『紙と鉛筆で根性で』ではなく、組織としてランサムウェア攻撃等のサイバーセキュリティインシデントを BCP に組み込む必要性を感じました」
「一般の BCP は災害の対策に重きを置いていますが、サイバー攻撃を組み入れた対策、バックアップシステムの見直しなども考え直す必要があるのかもしれません」
ランサムウェア攻撃が、いまや自然災害と同じインパクトで考える必要があること再認識させたようだ。この話題は、組織全体でセキュリティに取り組む「集団防衛」という考え方に広がった。
「弊社ではフィッシングメールの検出と隔離などの対応を自動化していますが、『ウイルス110番」と名付けて、Proofpoint 製品のユーザーからの通報機能を活用しています。通報するという行為を実際に行って、さらにその後通報者へのお礼の連絡が来ることによって社員一人一人に当事者意識が共有され、社員全員で守るという意識が生まれています」
--
今回のカンファレンスを通じて浮き彫りになったのは、防御技術が高度化し「システムへの直接攻撃」が困難になった結果、攻撃の矛先が不可避的に「人間」へと集中しているという現実だ。
「人間にパッチをあてることはできない」という辻氏の言葉は、裏を返せば、システムの不備をエンドユーザーの注意不足に転嫁してきたこれまでの業界の姿勢への警鐘とも反省とも取れる。技術の限界を認め、人間を責めるのではなく、いかにして「エンドユーザーに意識させずに守るか」という視点は、今後のセキュリティ設計における一筋の光となるはずだ。
そして、その哲学を日本という独自のビジネス風土を持つ市場で具現化するために、プルーフポイント が選んだ手段が「文化レベルでの徹底的なローカライズ」であった。生成 AI によって、攻撃者が放つ「偽りの日本語」がかつてないほど洗練されるなら、防衛側もまた、日本のビジネス慣習や言語感覚に深く根ざした「本物の言葉」で対抗しなければならない。翻訳の枠を超え、現場のエンジニアの手で磨き上げられたトレーニングコンテンツは、形骸化した「アリバイ研修」を脱し、社員一人ひとりの行動変容を促す実効的な武器となるだろう。
テクノロジーがどれほど高度化しようとも、メールを送受信し、決断を下すのは常に「人」である。日本のビジネス文化に寄り添い、人間の脆弱性を包み込むアプローチこそが、フィッシングメールに限らず、巧妙化するサイバー脅威全般に対する防波堤になるに違いない。
