情報セキュリティ コミュニティにおける未解決の問題は、ユーザーによるフィッシングメールの報告がどの程度メールセキュリティにメリットをもたらすかです。一部のお客様は十分にメリットがあると回答しています。しかしそれ以外のお客様は、abuse メールボックスの管理を自動化しておらず、効果的に管理できていないために、フィッシング報告についてメリットがあると感じることはできません。組織が導入しているメールセキュリティ の防御レイヤーによっては、ユーザーからの報告がその組織にメリットをもたらしていないことは、かなり残念であるといえるでしょう。
図 1: ユーザーにより報告されたメッセージと検知スタック分析を組み合わせたプルーフポイントの調査では、ユーザーにより報告されたメッセージの平均 30% ~ 40% が悪意のあるもの、またはスパムであることがわかりました。
フィッシング報告アドインはデータが示すように完璧ではない
フィッシング報告でしばしば見られる問題は、アドインに関連するものです。コラボレーション スイートの場合、ソフトウェアアップデートが夜通し行われることがあることから、これらのアドインの動作に問題が生じ、セキュリティチームはアップデートのたびごとに調整を迫られます。また多くの場合、フィッシング攻撃はモバイルデバイスで見られ、モバイルでは、フィッシング報告のアドインにアクセスできないこともあります。あるいは、報告できたとしても、報告するには何度もクリック操作が必要になる場合もあります。
図 2:フィッシング報告率と社数の関係
このグラフからわかる通り、お客様の大半が報告率の低いグループに分類されていることを示しています。報告アドインの認知が低く、簡単にアクセスできないことが原因と考えられます。
これは、ユーザーがフィッシング報告のアドインをどのように使用しているかを反映しています。 図 2 では、多くの組織にとっては、フィッシング シミュレーションにおいてユーザーにフィッシング アドインを積極的に使用させることが困難であることがわかります。
トレーニングを受けたユーザーが最後の砦となり、技術的制御が見逃した不審なメッセージを見抜き報告することができれば、ユーザーは組織にとって強力な防御壁となることができます。しかし、ユーザーが報告のアドインボタンを容易に見つけられない場合、せっかくユーザーが攻撃に気づくことができてもそれをセキュリティに活かすことができません。
フィッシング シミュレーションの平均報告率はわずか 13% で、多くの組織がこれを下回っています。
百分位数で見たシミュレーションの平均報告率:
|
百分位数 |
シミュレーションのユーザー報告率 |
|
25% |
1.4% |
|
50% |
8.5% |
|
75% |
19.9% |
|
平均 |
13% |
|
最高成績 |
83.6% |
このことから、プルーフポイントは、ユーザーが簡単にフィッシング報告がおこなえるソリューションを開発しました。
PhishAlarm を補完するプルーフポイントの HTML ベースのメール警告タグと「不審なメールを報告する」
図 3: 新しい HTML ベースのメール警告タグの例
新しいHTMLベースのメール警告タグは、デバイスやアプリケーションに依存しません。ユーザーは不審なメッセージを簡単に情報セキュリティチームに報告することができ、自動スキャンや修復が行われます。
PhishAlarm メールアドインを使用している場合、この新しい機能により、既存の投資を補完しながら、フィッシング報告をより簡単にすることができます。どちらのソリューションも相互にシームレスに稼働するため、社内チームやユーザーは柔軟性を手に入れることができます。
プルーフポイントの HTML ベースのメール警告タグが使用されるようになってから、しばらく経ちました。 そして、Proofpoint Email Security ソリューションをご利用のお客様は簡単にアップグレードし、「不審なメールを報告する」機能を追加することができます。(PPS バージョン 8.18 ご利用のすべてのお客様はこの統合機能の対象になります。セットアップ ガイダンスについてはご契約の代理店、あるいは貴社担当営業までお問い合わせください。)
HTML ベースのメール警告タグは、さまざまな種類のメッセージで表示されます。管理者は、以下のオプションから選ぶことができます。
情報:
- 外部送信者
- 新しい送信者からのメール
警告:
- 新規に登録されたドメイン
- DMARC 認証の失敗 (アイデンティティが確認できず、なりすましの可能性あり)
- 混合スクリプトドメイン (偽の Web サイトへのリンクが含まれる可能性あり)
- 送信者のなりすまし (インポスターまたはなりすましの可能性あり)
プルーフポイントでは今後も完全な検知アンサンブルを使用して洗練化させ、新しいタグを構築していきます。
タグは、38 の言語でカスタマイズ可能で、表現や色を調整することができます。管理者にとって最も良い点は、インストール不要で、実装にあたりデバイスサポートも不要であることです。まさしく「設定したら忘れてしまえる」ソリューションです。チームは時間を節約し、余分な労力もいらずに重要なプロジェクトに集中することができます。
さて、ユーザーがこれらのタグから不審なメッセージを報告するとどうなるのでしょうか?情報セキュリティチームにとって同様の素晴らしい自動化、お客様が満足できるユーザーによるフィードバックが得られます。
自動 abuse メールボックス: ユーザーによる不審なメールの報告を自動で分析
図 4: プルーフポイントの自動 abuse メールボックス、Proofpoint CLEAR (Closed-Loop Email Analysis and Response)
Profpoint CLEAR により、情報セキュリティチームは修復時間を 90% 以上短縮し、メッセージを報告したユーザーにフィードバックを提供することができます。
プルーフポイントが自動 abuse メールボックス ソリューション、Closed-Loop Email Analysis and Response (CLEAR) を発表した当時、最先端のテクノロジーとして、お客様から素晴らしい意見が寄せられました。
「時間の節約と自動化の効果は絶大です。従来のプロセスに戻ることは考えられません」
「報告されたメッセージが複雑なプロセス不要で自動的かつ効果的に削除できるため、安心です。」
数千のお客様に Proofpoint CLEAR をご利用いただいていることは大変素晴らしいことです。そして現在、メール警告タグと「不審なメールを報告する」機能により、ユーザーはどのデバイスでも危険性の高いメッセージを簡単に特定し、報告することができます。既存の CLEAR のお客様の場合、アップデートは不要で、「不審なメールを報告する」を有効にして後は通常通りに使用できます。
行動と脅威に関する詳細なインサイト
図 5: プルーフポイントは、従業員による報告の正確性の詳細に加え、他のお客様と比較したパフォーマンス ベンチマークも提供
プルーフポイントは、セキュリティ意識向上プラットフォームと CISO ダッシュボードで詳細な報告を提供します。これにより、ユーザー報告の行動を理解し、向上しているか確認することができます。また、インサイトを使用してセキュリティ意識向上プログラムを調整し、組織を保護するユーザーの影響力を数値で示すこともできます。(ニュースレターまたはコンテストなどで、組織の保護をサポートしてくれたユーザーを称えることを強くおすすめします。)
強力で包括的な脅威対策にご関心がございましたら、2021 Gartner Market Guide for Email Security (E メールセキュリティに関するマーケットガイド) をお読みください。重要なユースケースを理解し、組織を保護するために必要な効果を得ることができます。