日本プルーフポイントは7月25日、「People-Centric Security(ピープルセントリックセキュリティ:攻撃対象となり得る人に、よりフォーカスしたセキュリティ)脅威対策ソリューション」を発表した。米Proofpointが3月に買収を完了したWombat Security Technologiesのフィッシングシミュレーション/トレーニングソリューションを「Phishing Simulation and Security Awareness」として製品ポートフォリオに加え、これを同社が以前から提供するセキュリティソリューションと組み合わせて同日から新たに提供する。
日本プルーフポイント 代表執行役社長のFetzek Lorne氏
日本プルーフポイント 代表執行役社長のFetzek Lorne氏は、同社が2007年に業界初と言われるクラウド版メールセキュリティゲートウェイをリリースするなど、一貫してメールセキュリティをリードしてきた実績を紹介、さらに、日本では主に2000人以上の規模の大企業や政府官公庁などを対象に事業を展開していると説明した。
続いてProofpointのサイバーセキュリティ戦略担当ディレクターのAdenike Cosgrove氏が、今回のソリューションの詳細を説明。同氏は、まず昨今の脅威と対策のミスマッチについて指摘し、防御側では従来通りにネットワークの境界点での侵入防御に力を入れているが、攻撃側では突破が困難になりつつあるネットワークを攻撃対象とするのではなく、“人”に注目した攻撃を行うように変化しているとした。
調査によれば、情報漏えいの93%は人を対象とした攻撃によって引き起こされ、かつ、その96%は電子メールを起点とした攻撃だとされる。一方、企業側のセキュリティ投資の61%はネットワークセキュリティ機器に使われており、セキュアメールゲートウェイにはわずか7%の投資にとどまっているという。
Proofpoint サイバーセキュリティ戦略担当ディレクターのAdenike Cosgrove氏
さらに同氏は、人に対する攻撃の具体例として、同社の顧客で実際に検知された攻撃例を示した。グローバルに事業展開するある自動車メーカーでは、“エグゼクティブアシスタント(社長秘書といったイメージだろうか)”に対する攻撃が圧倒的な数に達しているという。エグゼクティブの代わりにメールのやりとりをすることも多いアシスタントのアカウントを攻撃者が奪取できれば、エグゼクティブがやりとりするメールの内容を盗み見て、適切なタイミングで詐欺メールを送るなどの手法で不当な利益を得られる可能性がある。
攻撃者は、エグゼクティブの名前や職掌、アシスタントの名前やメールアドレスなどを公開情報などから見つけ出して攻撃するという手法が、現実に広く実施されている状況だ。実際、国内でも2017年末に日本航空がBEC(Business E-mail Compromise:ビジネスメール詐欺)に遭い、約3億8000万円の被害が生じたという報道もなされている。
こうした状況を踏まえ、同社では“人”に注目した保護対策を展開している。今回発表されたソリューションでは、「実際に検出されたフィッシング攻撃を使用して、添付ファイル型、埋め込みリンク型、個人情報要求型を含むシミュレーションを作成し、30以上の言語で実践的な模擬フィッシング攻撃を仕掛け、従業員が誤った対応をした場合には、その直後に警告やアドバイスを行い、短時間のトレーニングを割り当てて訓練するという。
これはWombatのソリューションで提供されていた機能となり、Proofpointのメールセキュリティと組み合わせることで、企業に実際に送られてきたフィッシングメールなどをいち早くサンプルとして使うことができるなど、脅威への即応性などが向上しているという。なお、トレーニングはウェブコンテンツの形で提供され、5分程度で完了するように配慮されているという。
People-Centric Security脅威対策ソリューションの位置付け(出典:日本プルーフポイント)
なお、同社では「人の脆弱性にフォーカスしてサイバー攻撃の実態を把握するための調査を毎年実施して」おり、最新レポート「The Human Factor 2018(日本語版)」をウェブサイトで提供している。
