ウイルスなどが添付されたメールや、悪意のあるサイトへ誘導するメールを従業員が開封しないようにするため、不審なメールを従業員に送付し、開封の状況を確認するのが「不審メール訓練」である。同訓練では、従業員にアンケートなども実施し、セキュリティに対する意識を強化している。

　ところが、これまでの訓練では「開封率が一定程度から下がらない」と、S＆Jの三輪信雄代表取締役社長は指摘する。年に1から2回程度の実施であることが多く、逆に訓練に慣れると、訓練用の不審メールだと気づかれてしまい、訓練になりにくいといった背景があるという。

　しかし、不審メールの開封率が下がらない状況を放置するわけにはいかない。「高額な最新のセキュリティ機器でも、フィッシングメールの完全な検知・防御はできない」とし、三輪社長は従業員の気づきの感度向上が対策の基本だと訴える。

　フィッシュミーは、不審メールを開かないための従業員教育に加え、従業員が不審メールを報告し、社内のセキュリティ対策チームが対処するところまで、トータルでサポートするソリューションを提供する。つまり、教育するだけでなく、不審メールの報告という行動を従業に促すことで、気づきの感度向上と、社内のセキュリティ対策チームとの連携が可能になる。

　フィッシュミーが提供する主な製品は、次の四つ。スピアフィッシングやドライブバイダウンロードといったさまざまな攻撃メールの手法を再現し、従業員に送ることで不審メールについて教育する「PhishMe Simulator」。不審メールを開くことなく、従業員がセキュリティ対策チームに報告するための「PhishMe Reporter」。企業内のセキュリティ対策チームによって不審メールの識別やブロック、調査の実施を可能にする「PhishMe Triage」。フィッシングに関するさまざまな脅威をデータとして提供するサービス「PhishMe Intelligence」。これらを「PhishMeソリューションスイート」として提供する。ちなみに、日本におけるフィッシングの意味は、悪意のある偽サイトを指すのが一般的だが、米国では「だまして開かせる。だまして行動を起こさせる」という広い意味で使われていうため、そこには不審メールも含まれる。

　フィッシュミーのコンセプトは「“不審メールを開かない”から“報告する”へ」にある。日本でも必要と考え、S＆Jの三輪社長は日本で最初にパートナー契約を結んだという。フィッシュミーは今後、S＆JとNRIセキュアで販売拡大を図りながら、日本法人の設立時期を検討していく。（畔上文昭）