セキュリティ

攻撃シミュレーション(Attack Simulation Training)でフィッシング訓練を社内で実施する方法

#フィッシング訓練#Attack Simulation#Defender for Office 365#セキュリティ教育#Microsoft 365
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

「フィッシングメールに引っかからないように注意してください」——こう社員に伝えるだけでは、実際にフィッシングメールが届いた時に適切に対応できる保証はありません。

**Attack Simulation Training(攻撃シミュレーショントレーニング)**は、Microsoft Defender for Office 365に含まれる機能で、社員に模擬フィッシングメールを送り、誰がクリックしたか、誰が資格情報を入力したかを計測し、引っかかった社員に自動で教育コンテンツを配信する仕組みです。

仕組み

Step 1:シミュレーションの作成

管理者がMicrosoft Defenderポータルからシミュレーションを作成します。フィッシングメールのテンプレート(Microsoftが用意する多数のテンプレートから選択、またはカスタム作成)、送信対象ユーザー、送信スケジュールを設定します。

Step 2:模擬フィッシングメールの送信

設定したスケジュールで、対象社員に模擬フィッシングメールが送信されます。メールは実際のフィッシングメールと同様の外観で、リンクのクリックやログイン情報の入力を誘導する内容です。

ただし、模擬メールは安全であり、実際にアカウントが侵害されることはありません。

Step 3:行動の計測

社員の行動が以下のカテゴリで記録されます。

  • メールを開封した: メールを開いたユーザーの割合
  • リンクをクリックした: フィッシングリンクをクリックしたユーザーの割合
  • 資格情報を入力した: 偽のログインページでID/パスワードを入力したユーザーの割合
  • 報告した: メールを不審メールとして報告したユーザーの割合

Step 4:自動教育

リンクをクリックしたり資格情報を入力したりした社員には、即座にトレーニングページが表示されます。「今のメールは模擬フィッシングでした。以下のポイントに注意してください」という教育コンテンツが自動配信されます。

Microsoftが用意するトレーニングモジュール(動画、クイズ)を組み合わせたカリキュラムを設定することも可能です。

利用可能なシナリオ

Attack Simulation Trainingでは、以下のフィッシング手法をシミュレーションできます。

資格情報の窃取(Credential Harvest): 偽のログインページに誘導し、ID/パスワードの入力を誘う最も一般的な手口。

マルウェア添付(Malware Attachment): 悪意のある添付ファイル(実際には無害)を開かせるシナリオ。

リンク付きメール(Link in Attachment): 添付ファイル内のリンクをクリックさせるシナリオ。

ドライブバイURL(Drive-by URL): リンク先ページにアクセスしただけで感染するタイプのシミュレーション。

OAuth同意フィッシング: 偽のアプリにOAuth権限を付与させるシナリオ。近年増加している高度なフィッシング手法です。

結果の分析

シミュレーション完了後、Defenderポータルで以下のレポートが確認できます。

  • クリック率(全体 / 部門別 / 役職別): どの部門・役職のセキュリティ意識が低いかを特定
  • 経時変化: 訓練を繰り返すことでクリック率が改善しているかの推移
  • リピートオフェンダー: 複数回の訓練で繰り返し引っかかっているユーザーの特定
  • 報告率: フィッシングメールを不審メールとして報告できたユーザーの割合(最も重要な指標)
  • トレーニング完了率: 割り当てられた教育コンテンツを完了したユーザーの割合

訓練の頻度とベストプラクティス

頻度: 月1回〜四半期に1回が推奨。頻度が高すぎると「またか」と形骸化し、低すぎると効果が薄れます。

段階的な難易度: 最初はわかりやすいフィッシングメール(明らかに怪しいURL、不自然な日本語)から始め、徐々に難易度を上げて(実在するサービスを模倣、自然な日本語、業務に関連する内容)いきます。

事前告知はしない: 「来週フィッシング訓練をやります」と告知すると訓練の意味がなくなります。訓練の実施自体は事前告知せず、結果の共有と教育を訓練後に行います。

ポジティブなフィードバック: 「引っかかった人を晒す」のではなく、「報告できた人を称える」方向でフィードバックします。フィッシングメールを報告する文化を醸成することが最終目標です。

経営層も対象に含める: 経営層はBEC(ビジネスメール詐欺)のターゲットになりやすいため、訓練の対象から除外せず、むしろ重点的に実施します。

必要なライセンス

Attack Simulation Trainingの利用にはMicrosoft Defender for Office 365 プラン2が必要です。

  • Microsoft 365 E5: 含まれている
  • Microsoft 365 Business Premium: Defender for Office 365 P1は含まれるが、P2は含まれない。Attack Simulation Trainingを使うにはP2へのアップグレードまたはアドオン購入が必要
  • Defender for Office 365 P2 アドオン: 月額約790円/ユーザー

Business PremiumでAttack Simulation Trainingを使いたい場合、全社員分のP2ライセンスは必要なく、訓練の対象となるユーザーにP2ライセンスを割り当てればOKです(ただし、Microsoftのライセンス条件は変更される可能性があるため、最新情報を確認してください)。

サードパーティのフィッシング訓練サービスとの比較

KnowBe4、Proofpoint Security Awareness Training、Mimecast Awareness Trainingなどのサードパーティ製品と比較した場合、Attack Simulation Trainingの利点はMicrosoft 365との統合(Entra IDのユーザー情報、Defender for Endpointとの連携)が深い点です。

一方、サードパーティ製品はフィッシングテンプレートの種類が豊富、日本語のトレーニングコンテンツが充実している製品がある、Microsoft 365以外の環境(Google Workspace等)にも対応、といった利点があります。

まとめ

Attack Simulation Trainingは「セキュリティ教育を座学で終わらせず、実践で鍛える」ためのツールです。フィッシングメールのクリック率を数値で把握し、繰り返し訓練を行うことで、社員のセキュリティ意識を継続的に向上させることができます。

まずは四半期に1回のペースで訓練を開始し、クリック率の推移を追跡するところから始めてください。

情シス365では、フィッシング訓練の企画・実施、セキュリティ教育プログラムの設計を支援しています。お気軽にご相談ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談