フィッシングやビジネスメール詐欺など、依然としてメールはサイバー攻撃の起点となる割合が高い。メールを振り分ける技術は各種あるが、今のところ技術だけでは完全には防ぎきれない。さらに近年は生成AIで自然な日本語を作成しやすくなり、巧妙さに拍車がかかっている。社員が不審なメールを見分けられるようにできれば、高度なメールセキュリティーシステムを導入するのに匹敵するほどの効果がある。いかに効率的かつ効果的に訓練するかについてVade Japanに話を聞いた。

Vadeとの統合でHornetsecurityのサービスが日本進出

　Vadeは2009年にメールセキュリティー専業ベンダーとしてフランスで設立し、14年に日本で最初の顧客を獲得、16年に日本法人を設立した。翌年にはEmail Threat Centerを国内に設立し、さらに20年には大手通信キャリア各社にメールフィルターを導入するなど国内向け支援体制を着々と強化してきた。名実ともにVadeは国内のメールセキュリティーを支えている存在だ。

　そのVadeが24年、クラウドセキュリティーとコンプライアンスのSaaSプロバイダーのHornetsecurityグループ傘下に加わった。HornetsecurityはMicrosoft 365向け次世代型セキュリティーサービスを包括的に提供しており、メールセキュリティーだけではなくコラボレーション環境を全方位で保護できる強みを持つが、これまで日本に進出していなかった。統合後は日本法人のVade Japanを通じてHornetsecurityのサービスを展開していく構えだ。

　そして24年10月、Vade Japanは「Security Awareness Service」を発表した。これはHornetsecurityが提供しているサイバーセキュリティー訓練・学習クラウドサービスであり、25年上半期からの提供を予定している。

セキュリティートレーニングに必要な要素を盛り込んだSecurity Awareness Service

　世界経済フォーラムグローバルリスクレポート2022によると、サイバーセキュリティーインシデントの95％は人為的なミスにより引き起こされている。特に近年では生成AIの登場で偽メールの巧妙化が進んでおり、もはや通常の注意力だけでは防ぎきれない。
 
　さらに技術だけで攻撃を完全に防ぎきることも現状不可能だ。「だからこそ、技術的なフィルタリングと同時並行で、従業員が偽メールを受信した時に『これは正規のメールではない』と見抜く力、つまりセキュリティー意識を高めていくことが重要だ」と、Vade Japanの伊藤利昭・カントリーマネージャーは語る。

　セキュリティー意識の向上には日ごろからの訓練が欠かせない。セキュリティートレーニングに求められる要素として「現実的（迫真的）、効率的、効果的、定量的」の四つを挙げる。Security Awareness Serviceでは特許取得済みのスピアフィッシングエンジンが本物そっくりの疑似メールを従業員へ個別かつ不定期に配信するため、実際のサイバー攻撃に近い現実的な環境で訓練可能だ。訓練メールにだまされてクリックなどの操作を行ってしまった従業員に対しては「危ないところでした」とアラートを表示。見分けるための簡単なヒントを紹介し、訓練は短時間で済む。配信の頻度も企業のニーズや従業員のスコアに基づいて自動的に調整されるため、実に効率的だ。
 
　偽メールを正しく見分けられたら「あなたは会社のファイアウォールです」と褒めてユーザーのやる気を高めるなど、訓練をより効果的なものにする仕組みも用意されている。そして、従業員のセキュリティーレベル指数の遷移はグラフで可視化され、さらに他社のスコアと比較できるなど、訓練の効果を定量的に測れる点も同サービスの大きな特徴だ。

従業員の意識が組織のファイアウォールに

　従業員のセキュリティー意識はサイバー攻撃のとりでであるため、意識向上につながる施策は高度なセキュリティーツールの導入に匹敵すると言っても過言ではないだろう。Security Awareness Serviceは簡単に導入でき自動的な運用が可能だ。しかも、1ユーザーあたり月額351円とリーズナブルで、最低ユーザー数の制限もないため、企業規模を問わず従業員のセキュリティー意識向上に活用できる。「Vadeは国内キャリアメールやプロバイダーで実績を積んでおり、また提供するソリューションも海外で十分な実績があるものだ。販売支援策も用意しているので、パートナー企業と互いに信頼関係を築いていきたいと考えている」と伊藤カントリーマネージャーは語る。