新たな脅威に、新たな打ち手を。プルーフポイント社と目指す、メールセキュリティの新境地

はじめに

今回の対談では、日本プルーフポイント株式会社(以下、プルーフポイント)の増田様、PCJの松岡、原田に、「2024年 サービスパートナー・オブ・ザ・イヤー(Service Partner of the Year -PSAT-2024)」受賞を踏まえ、PSATを通した両社の協業、企業内でのセキュリティ意識醸成の重要性について、そして現在、取り組むべきセキュリティ対策と両社の協業の広がりについて語っていただきました。

※このインタビューは2024年4月に行ったものです

プロフィール

増田 幸美

 日本プルーフポイント株式会社

 チーフ エバンジェリスト 警察大学校講師

松岡 健人

 パクテラ・コンサルティング・ジャパン株式会社

 セキュリティコンサルティング事業部 事業部長

原田 将彦

 パクテラ・コンサルティング・ジャパン株式会社

 セキュリティコンサルティング事業部 部長

 

Interview Session

日本人に迫りくるメールセキュリティの脅威。現代の課題とは?

 

ーーまず始めに、プルーフポイント社との協業のきっかけを教えていただけますか。

松岡: 2019年頃、PCJのお客様からセキュリティ教育プログラムの見直し、メール訓練を改善したいとういご相談をいただきました。案件を進める中で、いくつかの製品を検討し、最終的にプルーフポイント社の製品であるPSAT(Proofpoint Security Awareness Training)を導入することになりました。導入後の運用もPCJで担当させていただくことになり、その後もプルーフポイント社の担当の方と密にコミュニケーションをとっていく中で、協業をしていくことになりました。

 

増田様: 今回PCJ社を2024年 サービスパートナー・オブ・ザ・イヤーに選出しました。多くの日本企業ではセキュリティ人材不足という課題を抱えています。“社内に専門家がいない”、“他業務と並行して対応しなくてはならない”、といったことからセキュリティ教育が遅れを取ることがあります。こういったお客様の悩みに対し、PCJ社では、PSATの数あるコンテンツをお客様に寄り添った形で提供していただくことで、教育トレーニングやフィッシング訓練の実行支援を、お客様に寄り添った形で提供していただいていると感じています。

 

松岡: ありがとうございます。セキュリティ教育は、お客様の業種、業界、規模や文化といったことを踏まえながら、個社ごとにプログラムを変え、いかに短い時間で受講者に強いインパクトを与えられるかがポイントになります。PSATの多様で面白いコンテンツの中から、ニーズに合わせてどのようなプログラムを作るか、どのようにしたらお客様に負担をかけずPSAT導入に繋げられるかというところに注力しています。

 

――サイバーセキュリティ教育を導入する企業が増えてきていると思いますが、現在の課題にはどのようなものがあるのでしょうか。

増田様: 今のサイバーセキュリティのインシデントは、人的要素に関わる内容がすべての侵害の74%を占めています。特に、人の勘違いを狙った、なりすましメールに記載のURLからIDやパスワード情報を入力させるといった手法が主流になっています。さらに、ChatGPTなどの生成AI技術の発展に伴い、今までは騙されにくいと言われていた日本語の詐欺メールの精度が上がり、日本人もターゲットにされやすくなっています。例えば、秘書や、人事、問い合わせ窓口の担当者といった、社内外の様々な所から来るメールを開く、脆弱性のある働き方をせざるを得ない方、そそっかしい方というのが引っかかりやすくなっています。実際に、PSATのデータを検証すると、いつも同じ人が引っかかるということが分かっています。

 

原田: そうですね。加えて、経営上層部も狙われやすいようです。何千万円もの金額を振り込む指示を出す詐欺の場合、一社員が決済できるものではありませんので、詐欺グループからすれば上層部こそターゲットにしたい相手でしょう。誰に送ったら開封率が高いのか、指示に従ってくれるのか、誰の名前から送るのが効果的なのかといったことが事前に全て調査されています。それに気づかず、詐欺メールに従ってしまう事例が増えています。

海外企業では増えてきましたが、日本企業でも専門的な知見を持っているCISO(最高情報セキュリティ責任者)の設置の必要性が高まってきています。売り上げに直結しないからと後回しになるケースが多く聞かれますが、セキュリティ対策に関して経営層の視点で議論するためにも、CISOの設置について積極的に検討するタイミングなのではないでしょうか。分かったつもりになっている人が増えてきている、それが現代における一番の課題だと感じます。

 

プルーフポイント×PCJ、PSATとDMARC導入でセキュリティ対策を強化する

――ではそのような状況に対して、どのように対策をしていかなくてはならないのでしょうか。

増田様: メールセキュリティに関わらず、サイバーセキュリティの中でとても大きな違いをもたらすものは、知っているか知らないかという差になります。例えばサポート詐欺でも、「トロイの木馬」(マルウェアの一種)の警告が出たとしても、その段階で感染しているわけではありません。焦って対応してしまうことで感染リスクが上がりますので、サポート詐欺の実態を知っていれば、自分がどのように対応すればよいのか分かります。そこで効果的なのが、セキュリティ意識向上のためのトレーニングパッケージ製品、PSATです。PSATでその時に出回っている脅威に関するトレーニングをタイムリーに行うことで、皆さんが「検知の壁」になっていくこと。それが被害を拡大しないことに繋がります。

 

原田: セキュリティ意識という点で言うと、PSATのようなシステム導入の意思決定をする経営上層部と、現場で実際に運用をする担当者の意識が共有されている必要があります。セキュリティ脅威は日々変化します。現場が持つセキュリティ脅威への危機感を経営上層部が共有し、運用側が発見した問題に対して、発見から対応・周知までをスピーディーに行える体制づくりが非常に大切だと思います。せっかく導入を決定しても運用側の視点が考えられていない、非効率なセキュリティ対策になってしまっているというケースは多いですね。

 

松岡: そうですね。そして、各企業に必要なセキュリティ教育は、十社十色ですし、いかに短い時間で受講者に強いインパクトを与えられるかということもポイントになります。PSATでは日々新しいコンテンツが増えていますので、その中からニーズに合わせてプログラムを作り、お客様に負担をかけずPSAT導入に繋げることが重要です。

 

原田: 実は、PSATを導入いただいても社員の方がトレーニングを後回しにしてしまい、ツールの有効活用、フィッシングメールへの対策をできていないお客様は多いです。セキュリティに関し、まだまだ認知度が低いように感じます。先進的な行動パターンに対して、我々は経営層や情報システム責任者と密に連携を取り、セキュリティの必要性を伝え続け、対策を強化していかなくてはなりません。

 

増田様: おっしゃるとおりです。そして、セキュリティ教育はタイムリーに行わないと効果には結びついてきません。PSATはお客様がご自身で新しい情報を入手できるようにコミュニティを公開していますが、英語での情報共有になります。我々が良い情報を提供していたとしても、お客様によっては英語の壁が生じてしまうこともあります。その点もPCJ社にサポートしていただけるのは心強いですね。

 

――PSATで組織内のセキュリティ意識を高めていくとして、ビジネスメール詐欺等に対しての有効な技術にはどのようなものがあるのでしょうか。

増田様:DMARC(Domain-based Message Authentication Reporting and Conformanceという、なりすましメールなどを防ぐ送信ドメイン認証技術は、2023年頃から日本でも注目されるようになりました。SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)という技術もパスしてしまうなりすましに対して有効で、自社になりすましたメールを相手が受け取らないようにすることで企業や個人情報を守っていくことができます。製造業の国と言われる日本で、現状は、大手半導体企業や、携帯電話メーカー、そして自動車メーカーが取引先企業に対し、DMARCのポリシーを一番厳しいモードであるrejectで運用すること取引条件に含めました。また、Gmailの「メール送信者のガイドライン」が更新され、グーグルは2024年2月以降、1日5000件以上のメールを送信する送信者に対し、DMARC認証の設置を含むガイドラインに準拠していないメールは受信遅延が発生したり、配信されない可能性があるなど、対策への動きが加速しています。

2024年1月にプルーフポイント社が発表したデータによれば、日系企業225社の中で60パーセント以上の企業がDMARCの対策に着手をし始めました1※1が、ここから、正しく運用できるようサポートをする必要があります。

松岡:そうですね。DMARC対応を推進していく中で、お客様のこうしたいという思いを受けつつ、運用についてかみ砕き、分かりやすく教えていくことが我々コンサルの役割です。DMARC導入もrejectに向け、スムーズなサポートができるような体制を整えていきたいです。

 

DMARCの仕組み - DMARCとは?その仕組みと設定方法、SPFやDKIMとの関係から抜粋

――では、協業することにより、PCJにどのようなことを期待しますか?

増田様: DMARCを導入するにあたっては、導入を始め、rejectに行くまでにとてもリソースを取られます。導入のために経営陣を説き伏せ、“旗振り役を行う方”、DNSの設定を行ったり変更したりする“技術的な仕事をする方”、“業務部門と調整する方”という3つの役割が必要となります。特に、業務部門と調整する方がいるかいないかで、DMARC導入のプロジェクトでrejectに行くまでの速さが変わってきます。この、知識がないと分かりづらい調整という点を、PCJ社で対応していただくとお客様にも喜ばれると思います。そして、DMARCはあくまでシステム面での対策です。メールセキュリティの意識を高めるためには、個人への教育も並行して実施しなくてはなりません。教育で重要な事は、脅威のあるメールの開封率を下げるものではなく、通報率を上げることです。通報率が上がると、その通報に対して当然対処していく人が必要になるため、リソース不足では対処しきれません。そのような場合に、プルーフポイント社のCLEAR (Closed-Loop Email Analysis and Response)というソリューションで、通報で受け取ったメールの脅威の有無の判定、フィードバック、脅威がある場合は受信フォルダからの削除を自動化できます。

 

原田: 今はセキュリティ対策も自動化が進んでいます。まずは、システム導入によってセキュリティ脅威の入り口をしっかり閉め、機械にできることは任せる。その上で、社内のリソースを考え、セキュリティ対策や脅威へ対応できるようにしていくことで、会社を発展させるための土壌づくりを支援したいと思います。DMARCやPSAT導入に関しても、経営上層部をはじめ全社の意思統一があって前に進めていくことができます。PCJではコンサルティング実施時に、セキュリティの重要性に関して一つ一つ丁寧にお話する機会を設けていますので、対策の重要性と必要性を徐々に分かっていただけるのではないでしょうか。

 

――最後に、セキュリティ対策のあるべき姿と、それに向け、どのように協業していくのかを教えてください。

増田氏: プルーフポイント社は、人を、セキュリティの考え方の中心に置いた「ヒューマンセントリックサイバーセキュリティ」を掲げています。セキュリティばかりを重視してしまうと業務効率性が落ち、皆さんも基準に従わなくなってしまいます。それよりも、働き方や、引っかかりやすい性質、権限を持った方なのかといったように、属性に合わせてトレーニングを考え、一人一人に対して意味のあるセキュリティ対策を講じていく必要があります。メールセキュリティのあるべきは、人が幸せになるかというところを焦点に当てることです。

 

松岡氏: 私はコンサルタントとして、人にどういったメッセージをどのように伝えるかを常に意識をしてきました。セキュリティのインパクトや、技術的な面に関してもできる限り具体的にお伝えし、DMARCやPSAT導入の効果が得られるように今後もサポートをさせていただきたいです。

 

原田氏: セキュリティ対策は時間との勝負です。「何を、どのようにやるべきか、PCJに任せておけばいい」と信頼いただいて、早期に対応していくというコンサルタントとして強みを生かしたセキュリティの枠組みを作り、今後もサポートをしていきたいですね。

 

増田氏: 日本のお客様は求める品質、サービスへの期待が非常に高いです。プルーフポイント社のサービスを最大限に活かしていただきながら、個社ごとの要望に沿えるように今後もPCJ社と協業することで日本のセキュリティレベルを上げていきたいと思います。

 

人に焦点を当てた、セキュリティのあるべき姿。協業で、日本のセキュリティレベルを向上する

――では、協業することにより、PCJにどのようなことを期待しますか?

増田様:  DMARCを導入するにあたっては、導入を始め、rejectに行くまでにとてもリソースを取られます。導入のために経営陣を説き伏せ、“旗振り役を行う方”、DNSの設定を行ったり変更したりする“技術的な仕事をする方”、“業務部門と調整する方”という3つの役割が必要となります。特に、業務部門と調整する方がいるかいないかで、DMARC導入のプロジェクトでrejectに行くまでの速さが変わってきます。この、知識がないと分かりづらい調整という点を、PCJ社で対応していただくとお客様にも喜ばれると思います。そして、DMARCはあくまでシステム面での対策です。メールセキュリティの意識を高めるためには、個人への教育も並行して実施しなくてはなりません。教育で重要な事は、脅威のあるメールの開封率を下げるものではなく、通報率を上げることです。通報率が上がると、その通報に対して当然対処していく人が必要になるため、リソース不足では対処しきれません。そのような場合に、プルーフポイント社のCLEAR (Closed-Loop Email Analysis and Response)というソリューションで、通報で受け取ったメールの脅威の有無の判定、フィードバック、脅威がある場合は受信フォルダからの削除を自動化できます。

 

原田: 今はセキュリティ対策も自動化が進んでいます。まずは、システム導入によってセキュリティ脅威の入り口をしっかり閉め、機械にできることは任せる。その上で、社内のリソースを考え、セキュリティ対策や脅威へ対応できるようにしていくことで、会社を発展させるための土壌づくりを支援したいと思います。DMARCやPSAT導入に関しても、経営上層部をはじめ全社の意思統一があって前に進めていくことができます。PCJではコンサルティング実施時に、セキュリティの重要性に関して一つ一つ丁寧にお話する機会を設けていますので、対策の重要性と必要性を徐々に分かっていただけるのではないでしょうか。

 

――最後に、セキュリティ対策のあるべき姿と、それに向け、どのように協業していくのかを教えてください。

増田氏: プルーフポイント社は、人を、セキュリティの考え方の中心に置いた「ヒューマンセントリックサイバーセキュリティ」を掲げています。セキュリティばかりを重視してしまうと業務効率性が落ち、皆さんも基準に従わなくなってしまいます。それよりも、働き方や、引っかかりやすい性質、権限を持った方なのかといったように、属性に合わせてトレーニングを考え、一人一人に対して意味のあるセキュリティ対策を講じていく必要があります。メールセキュリティのあるべきは、人が幸せになるかというところを焦点に当てることです。

 

松岡氏: 私はコンサルタントとして、人にどういったメッセージをどのように伝えるかを常に意識をしてきました。セキュリティのインパクトや、技術的な面に関してもできる限り具体的にお伝えし、DMARCやPSAT導入の効果が得られるように今後もサポートをさせていただきたいです。

 

原田氏: セキュリティ対策は時間との勝負です。「何を、どのようにやるべきか、PCJに任せておけばいい」と信頼いただいて、早期に対応していくというコンサルタントとして強みを生かしたセキュリティの枠組みを作り、今後もサポートをしていきたいですね。

 

増田氏: 日本のお客様は求める品質、サービスへの期待が非常に高いです。プルーフポイント社のサービスを最大限に活かしていただきながら、個社ごとの要望に沿えるように今後もPCJ社と協業することで日本のセキュリティレベルを上げていきたいと思います。

 

終わりに

この記事についてのお問い合わせはこちら⇒問い合わせフォーム 

※「お問い合わせ内容」の覧に、記事名もしくは記事URLをご記載ください

採用情報はこちら⇒Pactera Recruit 

現場コンサルタントとの面談等も対応可能ですので是非お気軽にお問い合わせください!

  1. プルーフポイントの調査により、日経225企業の「なりすましメール詐欺」対策に加速の兆しも、未だ欧米諸国に遅れていることが判明 ↩︎