Cofense™

概要

ヒトによる標的型攻撃対策ソリューション(Cofense™)

サービス内容

サイバーセキュリティにおいて、技術的な対策に主に投資が行われてきました。しかし、現在では「感染は防げない、という前提が必要」と言われるようになり、多層防御などの対策の効果に限界があることが明らかになってきました。 そして、「メールを開くことは止められない」、「不審メール訓練には限界がある」とあきらめている企業が多いのが現状です。 しかしながら、多くのサイバー攻撃がメールであることを考えると、「ヒトによる防御」にもっと注目するべきだとS&Jは考えます。

S&Jはフィッシング対策製品を提供しているCofense, Inc.(コフェンス・インク、以下「Cofense社」)と販売代理店契約を締結し、Human Phishing Defense Solution(ヒトによる標的型攻撃対策ソリューション)を提供いたします。

Cofense社の Human Phishing Defense Solution(ヒトによる標的型攻撃対策ソリューション) は、多層防御をすり抜けてきた標的型攻撃などのメールを、社員が「気付く」、「開かない」だけでなく「報告する」「IT部門/CSIRTが対応する」一連の行動ができるように支援するシステムです。
また、S&Jでは、お客様環境でのセキュリティの運用やインシデント対応の知見と実績を基に、Cofense™を有効に活用するためのメール訓練の運用支援サービスを提供しています。
これまで行われていたメール訓練を一歩進化させたサービスです。

Cofense社について
Cofense社はアメリカ バージニア州に本社がある人間主導型のフィッシング防御ソリューションを全世界的に提供する大手プロバイダーです。Human Phishing Defense Solutionは全世界で1000社以上の企業に採用され、「2016 SC Magazine ITセキュリティ関連のベスト訓練プログラム賞」を受賞しました。
https://cofense.com/

横スクロールで全体を見ることが出来ます

構 成

  • Cofense PhishMe™
    (コフェンス・フィッシュミー)

    豊富なメールテンプレート(メールのタイトルや本文)をカスタマイズし、擬似攻撃メールを送信できるシステムです。

  • Cofense Reporter™
    (コフェンス・レポーター)

    「不審メール提出ボタン」をメールプログラムにインストールすることにより、従業員が受信した不審メールの報告を安全かつ容易に行うことができます。

  • Cofense Triage™
    (コフェンス・トリアージュ)

    Cofense Reporter™により報告された不審メールが自動的に分類・分析されるので、自社に対するサイバー攻撃の状況を把握することができます。報告の正確性により社員を自動的に分類し、報告されたメールをグラフィカルに表示します。
    作成された不審メールの情報に基づき、SIEMやファイアウォール、IPSなどのセキュリティ機器に設定を送り込むことができます。

  • Cofense Intelligence™
    (コフェンス・インテリジェンス)

    Cofense社が独自に収集したフィッシングメールを専門チームが分析し、情報提供するサービスです。提供された情報は、Webでも提供されるので、素早く最新の脅威情報を展開することができ、CSIRTでの分析に有用です。

Cofense PhishMe™とCofense Reporter™は、標的型攻撃メールに「気付く」、「開かない」、「報告する」という能力を向上させるトレーニングシステムです。

標的型攻撃などのサイバー攻撃のほとんどはメールで行われています。また、主要なブラウザによるFlash無効化は、ますますサイバー攻撃の手段がメールに移行することを意味しています。しかし、ファイアウォール、IDS/IPS、SIEM、最新の振る舞い検知や機械学習によるウイルス検知システムなどを用いた「多層防御システム」であってもすり抜けてきます。

技術的な多層防御をすり抜けてきたメールを開くか開かないかは「ヒト」にかかっています。「ヒト」のサイバー攻撃対応能力を向上させることは、最終防衛ラインとして必要な訓練なのです。


これまで多くの組織では標的型攻撃対策のための訓練には、年に1回か2回の不審メール送信サービスが使われてきました。これらの訓練は不審なメールの添付ファイルやリンクを「開かないようにすること」が主目的となっており、「報告すること」の重要性については重視されていませんでした。
また、既存の不審メール訓練では、重要なコンテンツとなるメールのタイトルや本文が、実際に行われている攻撃に基づかずに
作成されている例が多くみられます。それは、訓練事業者とお客様が実際の攻撃に関する情報を収集できていないためです。


  • 不審メールへの対応
  • 課 題
  • 不審メールが届いたら、開かず削除

  • 同じメールが、他の従業員に届いた場合に、開いてしまう可能性があり、
    しかも感染に気付かない可能性がある

  • 不審メールが届いたら、ヘルプデスクに電話で連絡

  • 不審メール訓練を行うたびに、ヘルプデスクの電話対応を増員する必要がある

  • 不審メールが届いたら、CSIRTに不審メールを転送

  • 不審メールを取り扱うので、誤操作により開いてしまったり、
    送り先を間違えたりする危険性がある

Cofense PhishMe™
(コフェンス・フィッシュミー)

Cofense PhishMe™を用いて、以下の手順で不審メール訓練を行います。

  • 01
    不審メールの内容
    を豊富な
    テンプレートを
    用いて作成

  • 02
    不審メールの
    送付先を
    作成・選択

  • 03
    送信日時や曜日、
    時間当たりの
    送信数などを設定

  • 04
    開封時の教育
    コンテンツの作成

  • 05
    送信の実行

  • 06
    リアルタイムの
    閲覧・開封状況の
    確認

訓練用の不審メールは、豊富なテンプレートから選択し、自由にカスタマイズすることができます。日本語や英語はもちろん、30各国以上の言語に対応しています。

メールは、時間ごとの閾値を設定して送信ができ、閲覧・開封などの状況はリアルタイムに確認できます。

Cofense Reporter™
(コフェンス・レポーター)

Cofense Reporter™は、Office365やOutlook、Notes等にインストールして利用します。不審なメールが届いたら、ユーザは「不審メール提出ボタン」を押します。
ボタンが押されると自動的にメールはゴミ箱に移動され、管理者にメールそのものが転送されます。管理者は不審メールを分析し、セキュリティシステムに設定を反映させることができるようになります。

Cofense Triage™
(コフェンス・トリアージュ)

Cofense Triage™を使うことで、従業員から報告された不審メールを自動的に分類することができます。報告はReporterを使った場合に限らず、不審メールを特定のメールアドレスに送信するようになっていれば、Triageで分析することができます。報告者の正確性、時間、同じメールかどうか、報告された数などを円グラフで表現して、視覚的にサイバー攻撃の状況を把握することができます。
特に、「正確性が高い社員からのみの報告」や「経営者からの報告」などは優先度を上げて対応することができます。また、報告された不審メールを分析した後に、結果を報告者に返信することができます。
ばら撒き型のように多くのメールが報告される場合、一通ずつCSIRTが分析して返信するのではなく、まとめて対応することができ、さらに同じ報告が続いた場合でも自動的に返信されます。CSIRTの対応労力が大幅に削減され、本来対応すべき脅威への対応に注力することができるようになります。
※報告されたメールはTriageで自動的に分類される

Reporterで報告された不審メールは、Triageで処理された後、報告ユーザの正確性が自動的に評価されます。

Top Reporters

Cofense Intelligence™
(コフェンス・インテリジェンス)

Cofense Intelligence™は、Cofense社が独自に収集したフィッシングメールを専門チームが分析し、情報提供するサービスです。
Cofense Intelligence™の専門チームは、世界中から1日に数百万通のメールを収集しています。その中からマルウェア(RAT、BOT、ランサムウェアなど) に感染するフィッシングメールを抽出し、分析しています。 分析され提供された情報をユーザの各種セキュリティ機器に 取り込むことで、素早く最新の脅威に対応することができます。さらに、Webでも情報が提供されますので、CSIRTでの分析に有用です。

また、最新の脅威情報をトピックスとしてまとめた情報をCofense™ Threat Alertとして提供してい ますので、大量の脅威情報を全て把握しなくても、最新の脅威情報をフォローアップすることができます。 CSIRTに展開することによって、最新の脅威情報を 共有することができ、自社における脅威への対応能力を常に最新に保つことができるようになります。

メール訓練支援

概要

S&Jでは、お客様環境でのセキュリティの運用やインシデント対応の知見/実績を基に、不審メール訓練/報告システム(Cofense PhishMe™)を有効に活用するため、Cofense™の運用支援サービスを提供しています。

サービス内容

① 不審メール訓練計画の策定

不審メール訓練の年間計画の策定やどのようなシナリオで実施(実施時期、内容、対象部署等)するのかをコンサルティングいたします。S&J独自の知見とCofense™のインテリジェンス情報をもとに、最新動向を反映した訓練を実施することが出来るようになります。

・訓練メールの案作成(添付ファイル or リンクつきメール、ランサム等流行っているもの or 標的型)
・部門ごとの種別・回数の設定


② 不審メール報告訓練の実施と報告

訓練メールを作成して送信するCofense PhishMe™を利用して、シナリオ設定、メールアドレス登録(部門ごと、組織ごと)、送信日時設定などを行います。指定した時間になると、指定した数のメールを指定した時間間隔、指定した時間、指定した曜日に送ることが出来ます。受信者がメール本文を閲覧した(HTML表示に限る)、添付ファイルを開いたり、リンクをクリックした場合にリアルタイムに情報を収集することが出来ます。
また、不審メールを報告するCofense Reporter™を利用して、訓練メールを不審なメールとして報告する訓練が行えます。不審メールであると報告した従業員の把握ができます。
繰り返し訓練メールの送信と、不審メールの報告をセットで行うことにより、「不審メールを報告する」という基本的な動作を身に着けることができるようになります。欧米では、3ヶ月に一度程度訓練が行われており、その中でも成績の良くない部門に対しては毎週実施するなどして、効果的に不審メールの開封率の低下と報告率の向上を実現しています。
実施回数や内容についてはお客様環境に応じて柔軟に対応可能です。

横スクロールで全体を見ることが出来ます

不審メール分析

概要

従業員からCofense Reporter™で報告された不審メールをS&Jが分析し、開いても大丈夫なのか、マルウェアに感染する有害なものかどうかを分析して報告します。

サービス内容

明らかに有害とは判定されないものの、有害である可能性がある場合には、画像化して提供します。

マルウェアに感染するような危険なメールで外部通信を行うものについては、外部通信先の情報を提供しますので、お客様でログ分析やプロキシなどにブロックする設定を実施することができます。

このサービスでは、Cofense™を利用していなくてもご利用いただけますので、詳細はお問い合わせください。

横スクロールで全体を見ることが出来ます