日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)は8月18日、企業や組織が標的型攻撃メールやフィッシングメールなどに対する訓練を行えるよう支援する資料「メール訓練手引書一般公開版 v1.0」をウェブサイトで公開した。
メール訓練の全体像(出典:NCA)
NCAは、企業や団体、教育機関などでコンピューターシステムに関するサイバーセキュリティインシデントに対応するチーム(CSIRT)が参加、連携するコミュニティーとして2007年に発足。2017年に一般社団法人となり、2022年8月9日現在で456チームが加盟している。
資料は、NCAのメール訓練手法検討サブワーキンググループ(SWG)が作成したもので、どのような組織でもメール訓練を実施できるように、従業員向けメール訓練の方法や目標設定、評価方法、外部委託のヒントなどを取りまとめている。NCAは、「Emotet」やランサムウェアなど昨今の脅威でもメールが悪用されているため同資料を公開した。メール訓練手法検討SWGのアンケート調査によれば、約8割の組織がメール訓練を実施しており、訓練担当者にとって方法や目標の設定、評価方法などの情報が少ないことが課題だとしている。
アンケート結果(出典:NCA)
NCA加盟チームには「メール訓練手引書 第3版」が提供されており、今回の一般公開版 v1.0は第3版を再編集したものになる。NCAは、「メール訓練の成果が不明確になっている企業やマンネリ化している企業、これからメール訓練の導入を検討している企業などに参考になる資料です」と紹介している。