従業員の教育などによって不審メールから企業を守るソリューションを展開する米フィッシュミー(PhishMe、ロイト・ベラニCEO)が、日本市場に本格的に参入する。同社は、日本国内の販売パートナーとして、セキュリティソリューションプロバイダであるS&JとNRIセキュアテクノロジーズ(NRIセキュア)の2社と契約。年内に100社のユーザーを獲得したいとしている。

201704251152_1.jpg

S&J
三輪信雄
代表取締役社長

 ウイルスなどが添付されたメールや、悪意のあるサイトへ誘導するメールを従業員が開封しないようにするため、不審なメールを従業員に送付し、開封の状況を確認するのが「不審メール訓練」である。同訓練では、従業員にアンケートなども実施し、セキュリティに対する意識を強化している。

 ところが、これまでの訓練では「開封率が一定程度から下がらない」と、S&Jの三輪信雄代表取締役社長は指摘する。年に1から2回程度の実施であることが多く、逆に訓練に慣れると、訓練用の不審メールだと気づかれてしまい、訓練になりにくいといった背景があるという。

 しかし、不審メールの開封率が下がらない状況を放置するわけにはいかない。「高額な最新のセキュリティ機器でも、フィッシングメールの完全な検知・防御はできない」とし、三輪社長は従業員の気づきの感度向上が対策の基本だと訴える。

 フィッシュミーは、不審メールを開かないための従業員教育に加え、従業員が不審メールを報告し、社内のセキュリティ対策チームが対処するところまで、トータルでサポートするソリューションを提供する。つまり、教育するだけでなく、不審メールの報告という行動を従業に促すことで、気づきの感度向上と、社内のセキュリティ対策チームとの連携が可能になる。

 フィッシュミーが提供する主な製品は、次の四つ。スピアフィッシングやドライブバイダウンロードといったさまざまな攻撃メールの手法を再現し、従業員に送ることで不審メールについて教育する「PhishMe Simulator」。不審メールを開くことなく、従業員がセキュリティ対策チームに報告するための「PhishMe Reporter」。企業内のセキュリティ対策チームによって不審メールの識別やブロック、調査の実施を可能にする「PhishMe Triage」。フィッシングに関するさまざまな脅威をデータとして提供するサービス「PhishMe Intelligence」。これらを「PhishMeソリューションスイート」として提供する。ちなみに、日本におけるフィッシングの意味は、悪意のある偽サイトを指すのが一般的だが、米国では「だまして開かせる。だまして行動を起こさせる」という広い意味で使われていうため、そこには不審メールも含まれる。

 フィッシュミーのコンセプトは「“不審メールを開かない”から“報告する”へ」にある。日本でも必要と考え、S&Jの三輪社長は日本で最初にパートナー契約を結んだという。フィッシュミーは今後、S&JとNRIセキュアで販売拡大を図りながら、日本法人の設立時期を検討していく。(畔上文昭)