top of page
検索

人は必ずいつかクリックする」前提で、訓練依存から“技術・運用で折れる設計”

  • 山崎行政書士事務所
  • 8月8日
  • 読了時間: 4分

1) 研究の要点(UCSDヘルス 1万9,789人・実運用データ)

  • メールの文面次第で失敗率は桁違い:例)Outlookパスワードリセット系は失敗率 <2%。一方、休暇/病欠ポリシー変更>30%

  • 回数を重ねても改善しない:8カ月で**56%**が少なくとも一度失敗、**25.9%**が2回以上、**9.8%**が3回以上、**3.5%**が4回以上。全回失敗も1人。

  • 学習ページの効果は限定的:失敗後の学習コンテンツ提示あり/なしで平均1.7ポイントしか差が出ず、37〜51%が即閉(0秒)75%以上が1分未満滞在。→ 「訓練だけで守れる」という期待は非現実的

2) 実務への示唆(方針転換)

  • 訓練は「補助輪」:認知向上には役立つが、防衛の主役ではない。

  • “クリックされても破綻しない”設計へ:パスワード窃取・リンク踏み・添付実行を前提に、認証・メール・端末・ネットワーク・権限・監視で多層に折る。

3) 具体的コントロール(優先度順)

A. フィッシング耐性MFAの全面移行(最重要)

  • SMS/メール/TOTP原則廃止(リアルタイムフィッシングに弱い)。

  • FIDO2/WebAuthn(パスキー/ハードウェアキー)へ移行:

    • まず特権アカウント金融・人事・ITサポート

    • リスクベース認証(端末状態・位置・挙動)と併用。

    • レガシープロトコル(IMAP/POP/BasicAuth)無効化、アプリパスワード禁止。

B. 送受信メールのドメイン防御(ブランドと入口を守る)

  • 送信:SPF/DKIM/DMARC(p=reject)MTA-STS/TLS-RPTBIMI(VMC含む)

  • 受信:Fromドメイン整合性の厳格チェック、IDNホモグラフ検出、タイム・オブ・クリック検査、URL再書き換え、添付のCDR(無害化)サンドボックス

  • 役員宛や対外連絡はS/MIME署名等でなりすまし耐性を付与(段階導入)。

C. ブラウザ/端末での“踏んでも折れる”化

  • RBI(リモートブラウザ隔離)の役割別適用、EDR/ASRでOfficeマクロ/LOB以外の実行抑止、Mark-of-the-Web強制。

  • OS/ブラウザゼロデイ緊急パッチSLA、ローカル管理者権限の恒常禁止。

D. 権限とトークンの生存時間を絞る

  • 最小特権JIT/JEA昇格、短寿命セッション、**連続アクセス評価(CAE)**で盗難トークンの即失効。

  • 重要操作は二人承認別経路確認(送金口座変更、給与情報変更等)。

E. ネットワーク設計

  • VPN常時接続前提を捨て、ZTNA/プロキシで宛先最小化。未管理端末は読取専用

  • 社内からの外向けフィッシング(乗っ取り発信)も前提にegress制御・DLP。

F. 検知と「報告率」KPI

  • メールクライアントの**「報告ボタン」**を標準化。

  • クリック率より報告率/初動時間(TTR)/誤報率を主要KPIに。

  • SOCはハニーポットメルボックス異常送信検知(スパムボリューム・宛先分布・言語モデル逸脱)を監視。

4) 訓練のリデザイン(やめる/はじめる)

やめる

  • 「一律・抜き打ち・罰点型」でクリック率だけを追う運用。

はじめる

  • ロール別マイクロラーニング(3–5分、四半期)+質疑ライブ

  • 報告行動の習慣化(“疑ったら報告”が正解)。

  • 失敗者だけでなく全員に要点復習(クリックしなかった人も次は失敗し得る)。

  • 実害の出なかった未遂事例を匿名共有し、手口の文面を社内で可視化。

5) 30–60–90日 実行計画(現実的ロードマップ)

30日以内

  • 特権IDをFIDO2必須化、SMS/TOTPは緊急用に限定。

  • DMARC p=rejectまで引き上げ(段階運用でもOK)。

  • レガシー認証遮断、ヘルプデスクのパスワード初期化フローを対面/二経路化。

  • メールクライアントに報告ボタン展開、SOCの一次対応プレイブック作成。

60日以内

  • RBIの優先部門展開(財務・人事・購買)。

  • URL再書き換え/時刻検知・CDR・サンドボックスのパイロット→本番

  • 役員/対外窓口にS/MIME署名(送信限定)を先行。

  • 訓練KPIを報告率中心に改定、全社定例で共有。

90日以内

  • 全社員パスキー既定(プラットフォーム+ローミング鍵混在)、廃OTP化の日付を布告。

  • JIT/JEAとCAポリシー(高リスクは即ブロックorステップアップ)。

  • 送金・口座・給与等の二人承認+別経路確認をルール化・監査。

6) 山崎行政書士事務所のご支援(法務×技術運用の橋渡し)

ポリシー・規程改定

  • フィッシング耐性MFA必須(FIDO2/パスキー)規程、OTPの例外運用/破棄条件、メール/電子署名(S/MIME/BIMI/DMARC)の企業方針、越境・個情法(APPI)整合のログ保持・同意条項。

契約・調達

  • 委託契約のセキュリティ付帯条項(フィッシング耐性MFA/DMARC p=reject/インシデント通報SLA/再委託制限/監査権)。

  • IdP・メールセキュリティ・RBI/EDR の要件定義RFPと評価基準。

運用・証跡

  • KPI(報告率/TTR/誤報率)と経営向けダッシュボード、監督当局ガイダンス(例:日証協の「フィッシング耐性MFA」要件 等)に沿う監査証跡整備。

トレーニング

  • 罰点型から報告行動促進型への設計替え、役割別マイクロラーニングの台本・素材提供。

「クリックされても壊れない」体制を規程・契約・運用・証跡で形にします。

 
 
 

コメント

bottom of page