サイバー攻撃の91%はフィッシングメールから始まる。
統制され、エビデンスに基づいたフィッシングシミュレーションにより、実際の行動リスクを明らかにし、改善に必要なデータを提供します。部門別リスクスコアリングは7~12日以内にご提供。
お問い合わせ
現状
ファイアウォールやエンドポイント保護には投資しているものの、人間という要素は未検証のままではありませんか。
数字が語る現実
サイバー攻撃の91%はフィッシングメールから始まる(Deloitte, 2024)。
毎日34億通ものフィッシングメールが送信されている(AAG IT, 2024)。
トレーニングを受けていない従業員の60%がフィッシングリンクをクリックする(Proofpoint, 2024)。
人為的ミスに起因するデータ侵害の平均コストは490万ドル(IBM Security, 2024)。
見過ごされている課題
一般的な年次のセキュリティ意識向上トレーニングは、フィッシングの存在を伝えるに過ぎません。どの部門が実際に脆弱か、どの個人が最もリスクが高いか、そしてトレーニングに測定可能な効果があるかまでは把握できません。
監査担当者が求めるのは行動データであり、修了証明書ではありません。
得られるインサイト
組織のリスククオシェント(Risk Quotient):部門別、役割別に、従業員がどの程度脆弱であるかを正確に把握。
クリック率、認証情報提出、添付ファイル実行を個人別に追跡。
最もリスクが高い部門と役割を特定。
誰が、どの程度の深さで、いつ関与したかを示す詳細なインタラクション指標。
優先順位付けされたセキュリティ意識向上トレーニングロードマップ。
人事およびセキュリティチームが即座に実行できる、役割に応じた推奨事項。
実施前後のベンチマーク付き、経営層向けリスクダッシュボード。
初日から役員会報告および監査対応が可能。
実施プロセス
スコープ定義
ターゲットスコープの定義、従業員リストの確認、攻撃ベクトルと緊急連絡先の合意。
キャンペーン設計
貴社向けにカスタム構築されたスピアフィッシングテンプレート、認証情報収集ポータル、ホエーリングシナリオ。
ライブシミュレーション
全てのターゲットグループに対し、統制されたキャンペーンを実行。全てのインタラクションを記録。
レポート作成
部門別リスクスコアリング、経営層向けリスクダッシュボード、改善トレーニングロードマップを提供。
提供範囲
提供内容
部門別に作成された、シミュレーションによるスピアフィッシングキャンペーン。
現実的な偽ポータルを用いた認証情報収集評価。
財務、人事、C-Suite向けの経営層を標的とした攻撃(ホエーリング)。
行動深度追跡:リンククリック、添付ファイル実行、データ入力。
部門別リスククオシェント付きヒューマンリスクインテリジェンスレポート。
個人別のクリック率とインタラクション指標。
優先順位付けされた改善トレーニングロードマップ。
役員会報告用の経営層向けリスクダッシュボード。
提供対象外
セキュリティ意識向上トレーニングの実施(ロードマップは提供しますが、実施は対象外です)。
技術的な侵入テスト(Webアプリケーション侵入テストを参照)。
継続的な監視(マネージド脆弱性評価を参照)。
メール以外のソーシャルエンジニアリング(物理的、電話、SMSなど)。
担当エンジニア
Phuoc Pham, セキュリティエンジニア
侵入テスト(ペネトレーションテスト)および脆弱性調査の専門家。OSWE認定、Synack Red Team Level 4の資格を持つレッドチームスペシャリストとして、WebアプリケーションセキュリティとCVE調査に注力。
専門分野
Webアプリケーション侵入テスト:ホワイトボックス、グレーボックス、ブラックボックス手法。脆弱性調査とCVE発見。Java、.NET、PHP、JavaScriptにおけるセキュアコードレビュー。APIセキュリティテストとビジネスロジック悪用シナリオ。概念実証(PoC)エクスプロイト開発と改善指導。
業界経験
政府機関。金融。エンタープライズテクノロジー。SaaS。
実績
Synack Red Team Level 4として、常に高深刻度の脆弱性を発見。国内規模の銀行アプリケーションに対するホワイトボックスセキュリティ評価を主導し、改善後の重大な脆弱性発見はゼロ。複数のCVEを特定し、責任ある開示を実施。
Gradionを選ぶ理由
既製品ではなく、クライアントごとにカスタマイズ
貴社の業界、ツールスタック、従業員プロファイルに特化し、カスタム構築されたフィッシングテンプレート、認証情報ポータル、ホエーリングシナリオを提供。画一的な汎用キャンペーンは一切行いません。
クリック率を超えた行動インテリジェンス
合否判定に留まらず、誰が、いつ、なぜ、どの程度の深さでクリックしたかをレポートで明確化。単なる統計ではなく、実践的な人的リスクインテリジェンスを提供します。
監査対応エビデンス
エグゼクティブ向けリスクダッシュボードと改善トレーニングロードマップは、NIS2、ISO 27001、SOC 2、および役員会報告のエビデンスとして活用可能です。
フィッシングシミュレーション
固定価格。追加費用なし。
標準
フルフィッシングシミュレーション。カスタムテンプレート。期間:7~12日間。
- カスタムスピアフィッシングテンプレート
- クレデンシャルハーベスティング評価
- 役員層への標的型攻撃(ホエーリング)
- 部門別リスクスコアリング
- エグゼクティブ向けリスクダッシュボード
- 改善トレーニングロードマップ
よくある質問
年に一度のセキュリティ意識向上トレーニングは実施済みです。それでもこのサービスは有効ですか?
汎用的な年次トレーニングでは、どの部門が脆弱か、トレーニングの効果を把握できません。当社のシミュレーションは、監査人が実際に求める行動データというエビデンスを提供します。
パニックや士気低下の原因になりませんか?
すべてのシミュレーションは非懲罰的で教育を目的としています。従業員がクリックすると、すぐに支援的な注意喚起メッセージが届きます。これを適切に運用する組織では、エンゲージメントが低下するどころか、向上することが確認されています。
小規模チームですが、導入する価値はありますか?
フィッシング攻撃は企業規模を選びません。小規模チームほど、認証情報漏洩時の対応余力が少ない傾向にあります。本サービスはEUR 5,999から提供し、最小20名の従業員から対応可能です。
シミュレーションの現実性はどの程度ですか?
非常に現実的です。貴社の業界、社内ツール、コミュニケーションパターンを反映するよう、テンプレートを綿密に作成します。重要なのは、汎用的なフィッシングで従業員が引っかかるなら、標的型攻撃ではさらに危険性が高まるという点です。
次のステップ
フィッシングシミュレーションデータは、ISO 27001およびSOC 2の人的セキュリティ管理のエビデンスとして、セキュリティコンプライアンスレビュー(EUR 9,999~12,999)に直接活用可能です。
技術的なカバレッジには、Webアプリケーションペネトレーションテスト(EUR 4,999~6,999)との組み合わせが有効です。人的およびアプリケーションの攻撃対象領域を網羅的にカバーします。
継続の義務はありません。シミュレーションレポート単体でも十分な価値を提供します。
フィッシングシミュレーション:EUR 6,000から
フォームにご記入ください。48時間以内に空き状況とスコープを確認し、ご連絡します。
- 義務なし。セールストークもありません。
- 48時間以内にご返信
- シニアプラクティショナーが対応