ご契約様専用ページ

ID / パスワードをお忘れの方は こちら
※メーラが立ち上がります

※メーラが自動で立ち上がらない方は、
g-security@dentsusoken.com 宛てに
契約中のソリューション名(SecurityScorecard/KnowBe4)と
お客様情報をご連絡お願いいたします。

「社員一人ひとり」に
”ヒューマンファイアウォール”を根付かせるための
セキュリティアウェアネス トレーニング プラットフォームとは

セキュリティアウェアネス紹介動画

従業員のセキュリティ教育で困っていませんか?年に一回の教育とメール訓練で本当に社内は安全になっているのでしょうか?
従来のネットワークやシステムへの攻撃とは別に、今狙われている人への攻撃対策として、海外ではセキュリティアウェアネスの必要性が高まっています。
セキュリティアウェアネスって何?という方にわかりやすく解説します。

「セキュリティアウェアネス」とは

企業の従業員がセキュリティで心得ておくべきことは何でしょう?

いまサイバー攻撃者が狙うのは「人」です。 インフラやアプリケーションのセキュリティ対策が高度化しているため、人のちょっとした隙や不注意を狙うのです

感染症対策で例えてみましょう。医療の専門家でなければ、一般の生活者がウィルスの種類や薬の成分を詳しく知る必要はありません。それよりも、手洗い、マスク、密回避がどのような効果をもたらすのかを理解し、基本の習慣を徹底することが大切です。

自宅を思い浮かべてみてください。どんなに頑丈な家に住んでいても、鍵を閉め忘れてしまったら台無しです。住人は外出時に鍵をかけること、鍵を見知らぬ他人に渡さないことが基本の習慣です。加えて、どんな人が信用できて、どんな人が不審かは普段から意識することで感覚を研ぎ澄ませていくことができます。

企業のセキュリティ対策もこうした基本の習慣意識が重要になります。 守るべきものには鍵をかけ、不審者には鍵を渡さないこと。 これをオフィスで実践するなら、具体的に何をすることになるのかを学ぶ 必要があります。

何か起きてからでは手遅れです。
セキュリティに関する意識、「セキュリティアウェアネス」を高めていく必要があります。

では、実際にどのような攻撃や被害があるのでしょうか。
最近の攻撃傾向や代表例を挙げて、説明いたします。

「人の脆弱性」を狙うサイバー攻撃が増加、金銭被害も甚大に

もはやセキュリティ製品では
守り切れないような被害が

サイバー攻撃者は常に新たな攻撃手法を模索し、有効と思われる攻撃を強化、進化させていきます。しかも、最近ではサイバー攻撃者の組織化が進んでおり、より効率的なサイバー攻撃の“開発”に取り組んでいます。国家が支援するサイバー攻撃者グループもあり、潤沢な予算による高度なサイバー攻撃も行われています。

このような状況の中で急激に攻撃、被害ともに急増しているのが、騙したり、なりすましたりという“人の脆弱性”を狙うサイバー攻撃です。主にメールが使用され、実在する組織や人物を騙る上にマルウェアを使用しないものが多いので、従来のセキュリティ対策をすり抜けてしまいます。

新型コロナウイルスに便乗し、在宅を狙った詐欺メールの増加

在宅で緩む、サイバー攻撃への
対応力

昨今は、新型コロナウイルスの感染拡大に便乗した悪質な標的型メールや、在宅環境を狙った悪質なサイバー攻撃も確認され、一般財団法人 日本サイバー犯罪対策センターや厚生労働省からも注意喚起が出されています。
在宅環境特有の周囲に直ぐ相談できずに開いてしまう不審メールにご注意願います。
国立感染症研究所・自治体・ネット通販大手等を装う詐欺メールが確認されており、10万円給付金等の対応でも今後増加予想もあります。

「情報セキュリティ10大脅威 2021 (組織)」

引用:IPA(情報セキュリティ10大脅威2021)

1位ランサムウェアによる被害

ランサムウェアとはウイルスの一種で、PCやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。そしてそれを復旧することと引き換えに金銭を要求される等の被害が発生する。また、データの暴露を行うと脅迫され、金銭の支払い有無にかかわらず、データが暴露されてしまったケースが近年発生している。

※引用:IPA(情報セキュリティ10大脅威2021)より

2位標的型攻撃による機密情報の窃取

企業や民間団体そして官公庁等、特定の組織から機密情報等を窃取することを目的とした標的型攻撃が継続して発生している。攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報等を窃取する。

※引用:IPA(情報セキュリティ10大脅威2021)より

5位ビジネスメール詐欺による金銭被害

ビジネスメール詐欺(Business E-mail Compromise:BEC)は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃である。2020年は新型コロナウイルス感染症(COVID-19)に関する内容が含まれたビジネスメール詐欺が確認されている。

※引用:IPA(情報セキュリティ10大脅威2021)より

6位内部不正による情報漏えい

組織に勤務する従業員や元従業員等の組織関係者による機密情報の持ち出しや悪用等の不正行為が発生している。また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失、情報漏えいにつながるケースも散見される。組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失により、組織に多大な損害を与える。

※引用:IPA(情報セキュリティ10大脅威2021)より

9位不注意による情報漏えい

組織において、情報管理体制の不備や情報リテラシーの不足等が原因となり、個人情報や機密情報を漏えいさせてしまう事例が2020年も引き続き多く見られた。特にテレワークの導入等で働く環境が変化している今、状況に応じた対策が求められる。

※引用:IPA(情報セキュリティ10大脅威2021)より

代表的な攻撃例

ビジネスメール
詐欺(BEC)
ビジネスメール詐欺(BEC)
詳しく見る
巧妙化する
フィッシング詐欺
巧妙化するフィッシング詐欺
詳しく見る
マルウェア
「Emotet」の手法
マルウェア「Emotet」の手法
詳しく見る

セキュリティアウェアネスの向上とセキュリティカルチャーの醸成の必要性

セキュリティ志向の文化が根付いていないため、
従業員が好奇心や無気力な衝動になる
フィッシング詐欺の餌食になる可能性が。

2019年、フィッシング対策協議会への報告件数
55,787

フィッシングサイトの稼働が確認されている
金融機関も多く
29機関以上ございます

※ フィッシング対策協議会ホームページ 2019年12月26日時点の情報
(https://www.antiphishing.jp/news/alert/phishbank_20191226.html)

従来のセキュリティ対策は、ファイアウォールなどで言うところの
ネットワーク層やアプリケーション層など7つのレイヤーで
サイバー攻撃を検知、防御してきました。

しかし、
従来の対策では「人を騙すタイプ」
サイバー攻撃から守ることはできません。

新たに「人のセキュリティアウェアネス」という
8つ目のレイヤーが必要なのです!

セキュリティ対策における第8層
「ヒューマンファイアウォール」
を形成

「人」をファイアウォールにすることにより、
セキュリティ対策製品をすり抜けてきた攻撃を
防御できるようにする

セキュリティアウェアネス層に求められる「2つのポイント」

8つ目のレイヤーであるセキュリティアウェアネス層を効果的に機能させるためには、2つのポイントがあります。 それは「セキュリティ意識レベル」と「セキュリティカルチャー」で、それぞれに7つの要素があります。

セキュリティ意識レベル

セキュリティ意識レベルは、それぞれの要素についてセキュリティを意識する、あるいは正しいセキュリティ知識を身につけること。具体的には以下が挙げられます。

  • 電子メールセキュリティ
  • IT管理者への報告
  • インターネット利用
  • モバイルデバイス
  • パスワードと認証
  • セキュリティ意識レベル
  • ソーシャルメディアの使用

セキュリティカルチャー

「何らかの行動をする際には常にセキュリティを意識する」ということを企業に属する全員が行う。つまり企業文化として根付かせるということです。

  • 態度
  • 行動力(ふるまい)
  • 認知力
  • コミュニケーション力
  • コンプライアンス・ポリシー遵守
  • 規則、規範意識力
  • 個人の責任感

セキュリティアウェアネス向上トレーニングの変化

対策の変化と、いま求められる対策

五世代目に至った経緯

第一世代 テクノロジー(セキュリティ対策製品)
に依存
第二世代 集合研修 パワーポイント資料
(独自コンテンツ制作または外部委託)
第三世代 勉強会方式、セキュリティ教育ビデオ、
eラーニング受講
第四世代 標的型攻撃訓練メール配信システム(年に1回)
ランサムウェア対策
第五世代 ヒューマンファイアウォールアプローチ
(New School: 定期的、継続的な自動化運用)
  • 1:オンラインで全社員を教育(学習と体験を重視、セキュリティを第一のマインド形成にする)
  • 2:フィッシング詐欺攻撃、本番さながらの疑似演習体験とテンプレートのカスタマイズ
  • 3:訓練メールとセキュリティ教育を連携、自動化(IT管理者の負担を大幅に軽減)
  • 4:結果をスコアで数値化(受講者、部署、全社レベル)
  • 5:テスト結果に基づく、グループ化と教育プログラムのカスタマイズ化
  • 6:フィッシング詐欺ヒット率の可視化と同業他社との比較(ベンチマーク)
  • 7:リスク削減効果の測定

なぜ、セキュリティアウェアネス向上トレーニングが求められているのか?

4つの効能が組織を変える

1

セキュリティを第一のマインドセットに形成する意識改革が急務

2

日々求められるセキュリティ上の判断に社員ひとりひとりの的確な意志決定を可能にする

3

ひとりひとりにセキュリティカルチャーを醸成(ヒューマンファイアウォールを形成)

4

IT管理者へ「報告」できる社員

第5世代のトレーニングプラットフォーム「KnowBe4」とは

充実した教育コンテンツをベースとした戦略

米国のKnowBe4社は、第5世代のトレーニングプラットフォーム「New School」を提供しています。
KnowBe4の由来は「Know Before」、つまり“やられる前に知る”ことです。
8つ目のレイヤーである「人」は騙されやすく、うっかりミスを起こしやすい、実は最も脆弱なレイヤーで、サイバー攻撃者はここを突いてきます。KnowBe4では、こうしたヒューマンエラーの克服に取り組んでいます。

セキュリティ意識向上トレーニングと
フィッシングシミュレーション・分析を組み合わせた「世界最大の統合型プラットフォーム」

  • 教育コンテンツ:1,100種類以上
  • 多言語対応  :30ヶ国の言語対応(日本語対応)
  • フィッシング詐欺メールテンプレート:4,700種類以上

「KnowBe4」の3つの特長

特長

「セキュリティ意識向上トレーニング」と「フィッシング攻撃のシミュレーション」を
組み合わせた世界最大の統合型社員教育プラットフォーム

従来の社員教育は、eラーニング等を使った社員教育、標的型Mail訓練など、それぞれ別々に実施してました。KnowBe4は、① 社員教育プログラム (TRAIN)② 模擬攻撃の実施 (PHISH)③ 分析・効果測定 (ANALYZE)を1つのプラットフォーム上で一元管理し実施致します。これにより今まで把握できなかった「個人」、「部署」、「組織」それぞれのリスクレベルを可視化し、そこから最適な教育プログラムを作成する事ができます。必要な教育の最適化を行い、従業員のセキュリティ意識の向上に寄与します。

従来

内容によって実行部署が異なり、管理がバラバラ

KnowBe4 導入後

一元管理が可能!効果測定と教育プラグラムの見直しが簡単!

特長2

動画コンテンツも織り交ぜた多彩な教育コンテンツで受講者のモチベーションをUp

KnowBe4では、ビデオ、トレーニング、アセスメント、ゲーム、ニュースレター、ポスター等 多彩なコンテンツが多言語で用意しております。また、お客様で作成された独自コンテンツもKnowBe4を使って配信できるため、柔軟に教育計画を立てられます。

従来

静止画を中心とした教育コンテンツに退屈

KnowBe4 導入後

映画さながらの動画による教育、モチベーションもUP!

特長3

年間サブスクリプション・モデルでの提供

教育コンテンツやフィッシング攻撃などのサービスは、期間内であれば無制限で利用可能。
必要な人に必要な教育を継続的に提供可能です。

従来

SNSやクラウドなど、テーマ毎にコンテンツを
作成する必要あり。Mail訓練も回数制限あり。

KnowBe4 導入後

多言語対応した1,100種類以上の最新のコンテンツが見放題!
4,700種類以上のフィッシングMailテンプレートも
期間中、何回でも使い放題!

ヒューマンファイアーウォールを形成する流れ

3つを自動化し、効果を測定

① 社員教育プログラム
(TRAIN)

グローバルに対応したセキュリティ意識向上トレーニング
多言語対応による「全社レベル」でのセキュリティ文化の醸成

詳しく見る

② 模擬攻撃の実施
(PHISH)

豊富なテンプレートを活用し、「本番さながらの攻撃」疑似体験(ソーシャルエンジニアリング被害模擬体験)。
社員、部署ごとにレベルに合わせた教育メニューを策定。
Phish Alertボタン(無償提供)を使い、何かあったら報告する文化醸成
※不審メールは、開かない/クリックしないから「報告」へ

詳しく見る

③ 分析・効果測定
(ANALYZE)

是正学習を可能とする効果測定と、きめ細やかなレポーティング

詳しく見る

定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、
組織に適切な教育コンテンツを設定

ソリューションの紹介

  • SOLUTION 1 サイバー攻撃疑似体験:
    本番さながらの訓練/演習問

    セキュリティ意識改革、訓練、報告

    従業員の訓練
    (教育)

    IT管理者への報告

    訓練メール、URLクリック後のランディングページ誘導、是正教育、レッドフラグ(演習問題)、テスト、自動化運用、リスクスコアによる可視化(個人、部署、全組織)、分析レポート、ユーザー登録AD連携、SAML(SSO)認証、USBテスト、Vishing(音声)

    ● 教育コンテンツ :1,100種類以上
    ● 多言語対応   :34ヶ国の言語対応(日本語対応)
    ● フィッシング詐欺メールテンプレート :5,000種類以上

  • SOLUTION 2 インシデントレスポンスの
    初動対応を迅速化

    PhishER(緊急対策室)

    不審メールのトリアージ
    (優先順位付け)

    脅威メールの検疫、隔離

    報告された各メッセージを3つのカテゴリー: Clean (正常)、Spam (スパム)、Threat (脅威)の1つに分類して、優先順位付けする。

    全社内のメールボックスに削除されずに存在している危険なメールを迅速に見付け出し、検疫・隔離する。

    ● Office 365と連携
    ● 添付ファイルや悪意あるURLやドメインを解析するためにVirusTotalと連携
    ● Syslog連携(SplunkやQRadarなどのSIEMとプッシュ型でデータ連携

各ソリューションの詳細につきましては、
別途資料がございますので、お気軽にお問い合わせください

資料請求のお問い合わせ

ボタンをクリックするとメーラーが立ち上がりますので、
ご希望のソリューション番号をご記入の上、ご送信ください。

導入効果

KnowBe4の価値とROI

  • フィッシング詐欺ヒット率(PPP)を数値で可視化するレポート
  • 定期的に実行、12ヶ月後その効果を測定
トレーニングとテストを展開して、わずか90日で、半減。つまり、1年間で詐欺ヒット率を92%改善が可能!!

<フィッシング詐欺ヒット率の推移>
19の異なる業種の18,000社 900万人の従業員、2千万回以上の模擬フィッシングセキュリティテスト結果より

定期的に実施することで
被害リスク低減を可視化
ポリシーに基づき、個人、組織に
適切な教育コンテンツを設定

127% ROI

※米国フォレスター調査
Forrester TEI: Total Economic Impact

KnowBe4 会社概要

所在地 (本社)米国フロリダ州クリアーウォーター
設⽴ 2010年に米国フロリダ州、タンパベイで設立
従業員数 全世界 501-1,000人
顧客数 32,000社以上
成長 27回、四半期連続2ケタ成長
CHO 世界で最も有名なセキュリティスペシャリスト、Kevin Mitnick
2019年度マジッククアドラントで3年連続リーダー
  • 起業家、トップ企業文化
    153社中、第3位(2017年)

  • Cybersecurity注目企業
    500社中、第2位(2018年)

  • 急成長会社トップ500社中
    第96位(2018年)

  • フォレスターが選ぶ
    WAVEリーダーに

KnowBe4の評価

画像をクリックすると詳細ページ
(外部リンク)が開きます

KnowBe4の成長性

ユニコーン企業(※)として全世界から注目
※評価額が10億ドル以上の未上場のスタートアップ企業

27回連続、四半期2ケタ成長。
KnowBe4 本社

KnowBe4のCHO「Kevin Mitnick」とは

世界で最も有名なセキュリティスペシャリスト、
Kevin MitnickがCHO(Chief Hacking Officer)として活躍

“多額な費用をかけてテクノロジーやサービスを購入しているが、ネットワークインフラは依然として昔ながらの巧妙な手口には脆弱のままである。”
— Kevin Mitnick (ケビン・ミトニック)

紹介動画

従業員のセキュリティ教育で困っていませんか?年に一回の教育とメール訓練で本当に社内は安全になっているのでしょうか?
従来のネットワークやシステムへの攻撃とは別に、今狙われている人への攻撃対策として、海外ではセキュリティアウェアネスの必要性が高まっています。
セキュリティアウェアネスって何?という方にわかりやすく解説します。

世界で急成長しているセキュリティ意識向上サービス「KnowBe4」の紹介です。

セキュリティ業界の「Netflix」と称されるKnowBe4のセキュリティ教育動画です。
※「新しい学び方」を提唱するセキュリティ意識向上トレーニングがいかに楽しいものかご確認ください。
作品名:「The Inside Man」外部から忍び寄る内部犯行(日本語吹替予告編)

「The Inside Manシーズン2:外部から忍び寄る内部犯行」KnowBe4社のセキュリティ教育コンテンツ、シーズン2です。映画さながらの教育コンテンツを織り交ぜながら、受講者のモチベーションを上げつつ柔軟な教育プランを計画できます。

セキュリティアウェアネス
向上支援サービス

経験豊富なスタッフによる
手厚い3つの支援サービス

ライセンスサポートに加えて、
安心のオプションメニューをご用意しております。

  • 導入技術支援サービス

    KnowBe4初期導入フェーズの3か月間、お客様のテナント・グループ構成検討やユーザ登録、ホワイトリスト設定などを中心に、スムーズな導入に向けて支援いたします。

    詳しく見る ≫
  • 運用定着支援サービス

    本番運用開始後の教育・訓練結果(アセスメント/トレーニング/フィッシング)の結果を踏まえ、KnowBe4を利用したセキュリティトレーニング運用の定着化を支援いたします。

    詳しく見る ≫
  • 独自教育コンテンツ作成サービス

    お客様のご要望にあわせたオリジナルの教育コンテンツを作成いたします。動画に加えて、理解度テストをパッケージにし、KnowBe4プラットフォームを使って、配信及び受講管理が可能です。

    詳しく見る ≫

導入技術支援サービス

▼ こんなお客様に
おすすめです!

  • 導入後できるだけ早くKnowBe4を活用したい!
  • 国内だけでなく海外も含めて検討するには少し自信がない…
  • グループ会社にもある程度裁量を持たせたいが、どのように管理したらよいか自信がない…
  • 不審メールの報告の仕組み作りや、分析の効率化を図りたいが自信がない…(PhishER)
    …etc.

サービス内容

  1. 1.KSAT※1準備・計画フェーズ支援

    • ●管理コンソール運用体制決定支援
    • ●従業員(アカウント)管理方法の設計支援
    • ●認証方式の設計支援
    ※1…

    KSAT(Kevin Mitnick Security Awareness Training)は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせたプラットフォームです。
    KnowBe4社が提供しており、組織のセキュリティ上のリスクを可視化して、対策すべきポイントや対象者、対象グループを特定するのに役立ちます。

  2. 2.KSAT初回フィッシングキャンペーン/トレーニングキャンペーンに関する支援

    • ●ホワイトリスト設定支援
    • ●各種キャンペーン作成支援
  3. 3.PhishER※2を稼働させるまでの各種支援

    • ●不審メール処理フロー等の現状ヒアリング
    • ●初期ルール等の設計及び検証支援
    • ●不審メール報告ボタン(Phish Alert Button)設定支援
    ※2…

    「PhishER」は、トレーニングプラットフォーム「KnowBe4」のオプション機能です。
    KSATと組み合わせて利用することで、より強固な「Human Firewall」を形成します。

    「PhishER」についての詳細はこちら
  4. 4.随時打ち合わせ

    ご要望により、随時打合せ(Web会議を想定)での説明

  5. 5.各種手順書の作成

    ご要望に応じてKSAT/PhishERの各種環境設定/機能の操作に関する簡易手順書の作成

運用定着支援サービス

▼ こんなお客様に
おすすめです!

  • KSATの効果的な使い方についてアドバイスが欲しい
  • KSATを利用したセキュリティ意識向上トレーニングの全体計画についてアドバイスが欲しい
  • 教育コンテンツや訓練メールテンプレートの選定においてアドバイスが欲しい
  • 独自教育コンテンツを作りたいが、題材や訴求ポイントについてアドバイスが欲しい
    …etc.

サービス内容

  1. KSATの各種結果(アセスメント/トレーニング/フィッシング)をふまえたアドバイス等

    • ●セキュリティ意識向上トレーニング全体計画へのアドバイス
    • ●取り組むべきセキュリティ意識領域をアドバイス
    • ●お客様独自教育コンテンツの題材とポイントをアドバイス
    • ●その他、運用に関するドキュメント作成

独自教育コンテンツ作成サービス

▼ こんなお客様に
おすすめです!

  • 自組織のルールや文化をふまえたコンテンツを作成して、受講者にとって身近な題材を受講してもらいたい
  • KSATで利用できる教育コンテンツに加え、独自コンテンツも併用して従業員の意識向上を図りたい
  • オリジナルのキャラクターを作成したり、会社のマスコットキャラクターを使ってコンテンツを作成し、受講者に親近感を持って受講してもらいたい
    …etc.

サービス内容

  1. 1.動画ファイル作成

    • ●お客様のご要望をもとに絵コンテやシナリオを作成
    • ●オリジナルのキャラクターの作成やお客様社内のマスコットキャラクターを動画に組込むことも可能
    • ●ナレーションは“機械音声”もしくは“人の声”の選択が可能
  2. 2.SCORM※3ファイル作成

    • ●動画閲覧後に理解度テストを挿入する事で習得してもらいたい学習のポイントを受講者に認識してもらうことが可能
    • ●ご希望にあわせて色彩・文字フォント調整や指定スライドを挿入
    ※3…

    「SCORM」は「Sharable Content Object Reference Model」の略で、eラーニングにおける国際的な標準規格。ファイル形式をSCORM型式にして、学習管理システム(LMS)でコンテンツをアップロードすることができます。

各種情報

サービス紹介・ホワイトペーパー

導入事例・取材記事

×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求
×

資料サンプル表示

続きをご希望の方は「資料請求」よりご連絡ください。
(メーラーが立ち上がります)

資料請求

関連コラム