Cofense™ Cofense™

概要

多層防御をすり抜けてきた標的型攻撃などのメールを、社員が「気付く」、「開かない」だけでなく「報告する」、「IT部門/CSIRTが対応する」という一連のサイクルが確立できるように支援するシステムです。不審メール訓練システム、不審メール分析システム、脅威情報提供サービス等で構成され、これまで行われていたメール訓練を一歩進化させたソリューションです。


<Cofense社について>
Cofense社はアメリカ バージニア州に本社を構える企業で、マルウェアやビジネスメール詐欺等のサイバー攻撃に対抗するソリューションを提供しています。Cofenseは「Furtune100」(グローバル企業の総収入ランキングトップ100)に選定された企業の半数以上に採用され、
「2016 SC Magazine ITセキュリティ関連のベスト訓練プログラム賞」を受賞しました。
https://cofense.com/

Cofense構成

  • Cofense PhishMe™
    (コフェンス・フィッシュミー)

    豊富なメールテンプレート(メールのタイトルや本文)をカスタマイズし、擬似攻撃メールを送信できるシステムです。

  • Cofense Reporter™
    (コフェンス・レポーター)

    「不審メール提出ボタン」をメールプログラムにインストールすることにより、従業員が受信した不審メールの報告を安全かつ容易に行うことができます。

  • Cofense Triage™
    (コフェンス・トリアージュ)

    Cofense Reporterにより報告された不審メールが自動的に分類・分析されるので、自社に対するサイバー攻撃の状況を把握することができます。報告の正確性により社員を自動的に分類し、報告されたメールをグラフィカルに表示します。
    作成された不審メールの情報に基づき、SIEMやファイアウォール、IPSなどのセキュリティ機器に設定を送り込むことができます。

  • Cofense Intelligence™
    (コフェンス・インテリジェンス)

    Cofense社が独自に収集したフィッシングメールを専門チームが分析し、情報提供するサービスです。提供された情報は、Webでも提供されるので、素早く最新の脅威情報を展開することができ、CSIRTでの分析に有用です。


Cofense PhishMeとCofense Reporterは、標的型攻撃メールに「気付く」、「開かない」、「報告する」という能力を向上させるトレーニングシステムです。
標的型攻撃などのサイバー攻撃のほとんどはメールで行われています。また、主要なブラウザによるFlash無効化は、ますますサイバー攻撃の手段がメールに移行することを意味しています。しかし、ファイアウォール、IDS/IPS、SIEM、最新の振る舞い検知や機械学習によるウイルス検知システムなどを用いた「多層防御システム」であってもすり抜けてきます。
技術的な多層防御をすり抜けてきたメールを開くか開かないかは「ヒト」にかかっています。「ヒト」のサイバー攻撃対応能力を向上させることは、最終防衛ラインとして必要な訓練なのです。


これまで多くの組織では標的型攻撃対策のための訓練には、年に1回か2回の不審メール送信サービスが使われてきました。これらの訓練は不審なメールの添付ファイルやリンクを「開かないようにすること」が主目的となっており、「報告すること」の重要性については重視されていませんでした。
また、既存の不審メール訓練では、重要なコンテンツとなるメールのタイトルや本文が、実際に行われている攻撃に気づかずに
作成されている例が多くみられます。それは、訓練事業者とお客様が実際の攻撃に関する情報を収集できていないためです。


  • 不審メールへの対応
  • 課 題
  • 不審メールが届いたら、開かず削除
  • 同じメールが、他の従業員に届いた場合に、開いてしまう可能性があり、
    しかも感染に気付かない可能性がある
  • 不審メールが届いたら、ヘルプデスクに電話で連絡
  • 不審メール訓練を行うたびに、ヘルプデスクの電話対応を増員する必要がある
  • 不審メールが届いたら、CSIRTに不審メールを転送
  • 不審メールを取り扱うので、誤操作により開いてしまったり、
    送り先を間違えたりする危険性がある

Cofense PhishMe
(コフェンス・フィッシュミー)

Cofense PhishMeを用いて、以下の手順で不審メール訓練を行います。

  • 01
    不審メールの
    内容を豊富な
    テンプレートを
    用いて作成
  • 02
    不審メールの
    送付先を
    作成・選択
  • 03
    送信日時や曜日、
    時間当たりの
    送信数などを設定
  • 04
    開封時の教育
    コンテンツの作成
  • 05
    送信の実行
  • 06
    リアルタイムの
    閲覧・開封状況の
    確認

訓練用の不審メールは、豊富なテンプレートから選択し、自由にカスタマイズすることができます。日本語や英語はもちろん、30各国以上の言語に対応しています。

メールは、時間ごとの閾値を設定して送信ができ、閲覧・開封などの状況はリアルタイムに確認できます。

Cofense Reporter
(コフェンス・レポーター)

Cofense Reporterは、Office365やOutlook、Notes等にインストールして利用します。不審なメールが届いたら、ユーザは「不審メール提出ボタン」を押します。
ボタンが押されると自動的にメールはゴミ箱に移動され、管理者にメールそのものが転送されます。管理者は不審メールを分析し、セキュリティシステムに設定を反映させることができるようになります。

Cofense Triage
(コフェンス・トリアージュ)

Cofense Triageを使うことで、従業員から報告された不審メールを自動的に分類することができます。報告はReporterを使った場合に限らず、不審メールを特定のメールアドレスに送信するようになっていれば、Triageで分析することができます。報告者の正確性、時間、同じメールかどうか、報告された数などを円グラフで表現して、視覚的にサイバー攻撃の状況を把握することができます。
特に、「正確性が高い社員からのみの報告」や「経営者からの報告」などは優先度を上げて対応することができます。また、報告された不審メールを分析した後に、結果を報告者に返信することができます。
ばら撒き型のように多くのメールが報告される場合、一通ずつCSIRTが分析して返信するのではなく、まとめて対応することができ、さらに同じ報告が続いた場合でも自動的に返信されます。CSIRTの対応労力が大幅に削減され、本来対応すべき脅威への対応に注力することができるようになります。
※報告されたメールはTriageで自動的に分類される

Reporterで報告された不審メールは、Triageで処理された後、報告ユーザの正確性が自動的に評価されます。

Top Reporters

Cofense Intelligence
(コフェンス・インテリジェンス)

Cofense Intelligenceは、Cofense社が独自に収集したフィッシングメールを専門チームが分析し、情報提供するサービスです。
Cofense Intelligenceの専門チームは、世界中から1日に数百万通のメールを収集しています。その中からマルウェア(RAT、BOT、ランサムウェアなど) に感染するフィッシングメールを抽出し、分析しています。 分析され提供された情報をユーザの各種セキュリティ機器に 取り込むことで、素早く最新の脅威に対応することができます。さらに、Webでも情報が提供されますので、CSIRTでの分析に有用です。

また、最新の脅威情報をトピックスとしてまとめた情報をCofense Threat Alertとして提供してい ますので、大量の脅威情報を全て把握しなくても、最新の脅威情報をフォローアップすることができます。 CSIRTに展開することによって、最新の脅威情報を 共有することができ、自社における脅威への対応能力を常に最新に保つことができるようになります。