【2025年最新版】標的型攻撃メール訓練サービス3選比較!選ぶ際のポイントについて解説
標的型攻撃メール訓練とは、悪意のあるメールを受け取った従業員が、適切な対応を行えるように実施する訓練のことです。
近年、「ランサムウェア」や「ビジネスメール詐欺」などが、サイバー攻撃の大きな脅威となっていますが、その攻撃手段として最も使用されるが「メール」と言われています。
情報処理推進機構(IPA)が毎年、発表している「情報セキュリティ10大脅威」の2024年版では、1位に「ランサムウェアによる被害」(9年連続9回目)、4位に「標的型攻撃による機密情報の窃取」(9年連続9回目)、7位に「ビジネスメール詐欺による金銭被害」(7年連続7回目)が、“組織にとっての脅威”としてランクインしています。
フィッシング対策協議会によると、送信元を偽装して送付されるフィッシングメールの件数は、2024年に1,718,032通と過去最高を更新しており、2019年の55,787通と比較すると実に30倍も増加しています。
技術的対策の限界から、ゼロトラスト(侵入前提)でセキュリティ対策を再検討することが求められる中で、官公庁や、業界団体が公表するガイドラインにおいても、従業員に対するセキュリティ教育の実施が明記されるようになりました。
こうした中で、従業員一人ひとりに対してサイバー攻撃に関する知識の強化と、メールに対する警戒心を養う実践的なトレーニングとして、標的型攻撃メール訓練が注目されています。
本コラムでは、標的型攻撃メール訓練サービスの選び方などをご紹介いたします。
標的型攻撃メール訓練とは
標的型攻撃メール訓練とは、冒頭でもお伝えしたように、近年、大きな脅威となっている「ランサムウェア」や「ビジネスメール詐欺」といったメールを起点としたサイバー攻撃から組織を守るために、従業員が適切な対応を身に付ける訓練のことです。
標的型攻撃メール訓練の目的
そもそも、標的型攻撃メールとは何でしょうか? 標的型攻撃メールとは、特定の企業や個人を狙って機密情報や知的財産、アカウント情報(ID、パスワード)などを窃取しようとするメールのことです。
業務に関連するメールに偽装されることが多いため、一般的なウイルスメールとは異なり、セキュリティソフトのチェックを回避して受信者に届く可能性があります。
標的型攻撃メールが届いた際に、従業員が適切な初動対応を取ることが出来るかが、組織の命運を分けることになります。
・メールを開封せずに、担当部門に報告する
・メールを開封してしまった場合は、添付ファイルの開封や、本文中のURLをクリックせずに、担当部門に報告する
・添付ファイル開封やURLクリックしてしまった際は、即座にネットワークから端末を遮断し、電源を切らず、ウイルススキャンをしない状態で、担当部門に報告する
こうした正しい初動対応を従業員に定着させるために、「標的型攻撃メール訓練」は繰り返し実施することが重要です。
標的型攻撃メール訓練サービスの選び方
数多くの標的型攻撃メール訓練サービスが提供されており、どのサービスを選べば良いのか迷ってしまう方も多いでしょう。
ここでは、標的型攻撃メール訓練サービスの具体的な選び方、選ぶポイントをお伝えいたします。
「知識習得」と「模擬訓練」、「セルフ型」と「アウトソース型」
訓練内容は、「知識習得」と「模擬訓練」に分かれます。
「知識習得」では、標的型攻撃メール訓練の基本として、従業員が標的型攻撃メールの危険性を認識し、対処方法を理解するために、標的型攻撃メールの脅威や不審な点、対処方法といった知識を習得します。
「模擬訓練」では、実際に標的型攻撃メールを模したメールを従業員に送信し、従業員の対応を評価します。
訓練方式は、「セルフ型」と「アウトソース型」に分かれます。
「セルフ型」は、訓練メール配信ツールをクラウドサービスとして提供するもので、訓練メール作成から、従業員への配信、報告書の作成までを、お客様ご自身で実施します。
「アウトソース型」は、専任担当者が訓練の設計、訓練メールの作成・配信、報告書の作成までを請け負うため、お客様の負担を軽減させることが可能です。
「知識習得」の選定ポイント
最も一般的なものは、サイバー攻撃を解説した動画コンテンツや、Webテストを提供するものです。
標的型攻撃メール訓練は、繰り返し実施することが効果的なため、前回実施からコンテンツが変わっていないと、従業員も飽きてしまいがちです。
そのため、動画コンテンツやWebテストの更新頻度を確認し、最新の情報が反映されているかを確認してみましょう。
「模擬訓練」の選定ポイント
従業員に訓練と気づかれずに実施することは、標的型攻撃メール訓練の重要な要素です。
お客様の業態や組織に応じて、メール本文、配信元メールアドレス、配信回数、配信間隔などをどこまでカスタマイズが可能かを確認しましょう。
サービスによっては、カスタマイズが費用に影響を与える可能性がある点も注意が必要です。
「セルフ型」の選定ポイント
多くのサービスは、訓練メール配信ツールをクラウドで提供しています。
課金単位、契約期間、レポート提供機能等、自社のニーズに合っているかを確認しましょう。
「アウトソース型」の選定ポイント
標的型攻撃メール訓練を実施し、従業員の知識や意識の向上を目指すには、社内の担当者にも相応の知識レベルが求められます。
もし、社内にそのような人材がいない場合は、「アウトソース型」を検討されてはいかがでしょうか。
訓練内容を自社の過去のインシデントに照らし合わせてカスタマイズしたり、模擬訓練結果の分析と改善アドバイスを受けたり、訓練実施のサポートを受けたりなどのサービスを受けることができます。
標的型攻撃メール訓練サービスの比較
最後に、標的型攻撃メール訓練サービスのおすすめを3点ご紹介いたします。 ぜひ、比較しながら自社に合ったものを選定してみてください。
SasaL(ササエル)標的型攻撃メール訓練(扶桑電通株式会社)
「SasaL(ササエル)標的型攻撃メール訓練」は、当社が提供する標的型攻撃メール訓練です。
「知識習得」と「模擬訓練」を「アウトソース型」でご提供致します。
一番の特長は、実際のインシデント対応経験を持つ講師陣によって、リアルタイムのオンライン授業を提供する点です。
最新のコンテンツを元に、講師と受講者が双方向でコミュニケーションを取ることが出来るため、知識・経験の定着を高めることが出来ます。
料金は、メールの送信人数に応じて変動致します。
初回に限り、30名までの模擬訓練と、知識習得のオンライン研修1回を30万円(税抜)で提供しております。
標的型攻撃メール対応訓練・教育ソリューション(アクモス株式会社)
本サービスは、「知識習得」と「模擬訓練」を「セルフ型」で提供します。
契約形態は、ユーザ数で契約し、期間中に訓練メールを何度でも配信できる「Cotra Enterprise」と、メール数で契約する「Targeted Mail Training」の2種類です。
2か月間のフリープランも提供しており、オンラインマニュアルや無償サポートも充実しているため、初めてセルフ型に挑戦したいお客様におススメです。
「Targeted Mail Training」の料金は、100通・利用期間3か月で45,000円、100通・利用期間1年で78,000円です。(税抜)
「Cotra Enterprise」は、1ユーザあたり年間800円(税抜)で、最低契約ライセンス数は30Lから始めることが出来ます。
トラップメール(グローバルセキュリティエキスパート株式会社)
セキュリティ領域、IT領域のソリューション事業を手がけるグローバルセキュリティエキスパート株式会社が提供する標的型攻撃メール訓練です。
「知識習得」と「模擬訓練」を「アウトソース型」で提供します。
導入実績は 1万1,000 社以上で、標的型攻撃メール訓練サービスとして、国内シェアNo.1のサービスです。
サービスプランは、実施範囲に応じて、「エキスプレス」「スタンダード」「プレミアム」「プレミアムEX」の4つから選択可能です。
オプションサービスも充実しており、料金は個別見積となります。
まとめ
標的型攻撃メール訓練は、従業員のセキュリティリテラシーを向上させるだけ無く、組織が抱える課題を浮き彫りにします。
攻撃メールに気づいた時に、従業員はどこに連絡すれば良いのか分からない、対応できる担当者が社内にない、ウイルス感染が確認されたら際の対応が分からない、などの問題は、セキュリティ対策を検討する上での貴重な材料となります。
扶桑電通は、セキュリティツールの導入、コンサルティング、トレーニングから、インシデント収束の支援まで、幅広いセキュリティサービスをご提供しております。
セキュリティ対策は、点では無く、面で検討を進める必要があります。
何を対策すれば良いか、どこから手を付けて良いか分からない、という不安がございましたら、お気軽にご相談ください。
