ソフォスは5月16日、フィッシング対策訓練ツール「Sophos Phish Threat 2.0」を国内で提供開始すると発表した。同ツールは昨年に欧米でリリースが開始され、今回、バージョンアップに伴い、日本語を含む9つの言語への対応が行われ、国内提供が開始される運びとなった。
「Phish Threat」では、テンプレートをもとにフィッシングメールを作成して、従業員に送信することで、メール内のURLをクリックしたユーザーを登録し、トレーニングを受講させることができる。これにより、フィッシングメールに対する従業員の意識を高め、セキュリティ対策の弱点の1つとも言える「人」の部分を強化する。
セールスエンジニアリング本部 本部長 足立修氏は、「Phish Threat」を提供開始した背景について、「われわれが実施した調査において、IT専門家の41%は毎日フィッシング攻撃を受けていると回答しているほか、組織の62%がフィッシングに対するユーザーの意識をテストできていないと回答しており、フィッシングの脅威が高まる中、組織では十分な対策が講じられていない状況」と説明した。
同社で「Phish Threat」を導入し、4回のテストを実施したところ、従業員のフィッシング攻撃への感受性が31%低下したという。
「Phish Threat」の詳細については、セールスエンジニアリング本部 セールスエンジニア 椎山浩二氏がデモを交えて、説明した。
「Phish Threat」では、シミュレート用のフィッシングメールを作成する際、140以上のテンプレートを利用することが可能。シナリオは現時点で、「マスフィッシング゙」「スピアフィッシング」を利用でき、「認証情報の収集」「悪意のある添付ファイル」のシナリオが5月中に、「BEC(ビジネスメール詐欺)」のシナリオが2018年後半にリリースされる予定だ。
フィッシングは、Google、マイクロソフト、Amazonなど、グローバルITベンダー、ソーシャルメディア、ショッピングサイトを騙るケースが多いが、これらに対応したテンプレートも用意されている。
テスト用のフィッシングメールに含まれたURLをクリックした従業員には、トレーニングを受講するよう促す。トレーニングのトピックは、セキュリティとコンプライアンスに分かれており、その数は30を超える。トレーニングはユーザーを飽きさせないよう、ゲームの要素なども取り入れられている。
今回のバージョンアップでは、ダッシュボードと分析機能の刷新も目玉の1つだ。ダッシュボードでは、フィッシングメールのテストの実施状況、テストに引っかかった従業員のトレーニングの受講状況などを確認できる。
椎山氏は、「Phish Threat」のアドバンテージとして、「テンプレートの質の高さ」「短時間で学習できるトレーニング」「ソフォス製品を統合管理できる相互連係ネットワーク管理プラットフォームであるSophos Central」を挙げた。
Sophos Centralにおいては、「「Phish Threat」による攻撃シミュレーションとトレーニングの状況に加え、エンドポイント、メール、モバイル、ワイヤレスなどを単一のインタフェースで管理可能。
今後は、エンドポイント対策製品と連携して、トレーニングの受講状況をもとに、ユーザーデバイスの保護ポリシーの動的な更新に対応する予定だという。
価格は保護するユーザーの数で決まる。10ユーザーの場合、1ユーザー当たりの年間サブスクリプションの料金は4320円、100ユーザーの場合、1ユーザー当たりの年間サブスクリプションの料金は2620円。