訓練の実施イメージ(NISCの発表資料から引用)
訓練の実施イメージ(NISCの発表資料から引用)
[画像のクリックで拡大表示]

 政府は2011年10月7日、情報セキュリティ政策会議(議長は藤村修官房長官)を開き、政府機関の職員およそ5万人に対して、「標的型不審メール訓練」を実施することを決めた。

 標的型不審メール訓練とは、標的型攻撃の被害に遭わないために実施する模擬訓練。訓練期間は2011年10月から12月まで。対象となるのは内閣官房など12の政府機関の職員およそ5万人。

 標的型攻撃とは、特定の企業や団体を狙った攻撃。標的型攻撃の多くでは、ウイルス添付メールが使われる。攻撃者は、標的とした企業の社員にウイルス添付メールを送信し、“言葉巧み”にウイルスを実行させる。具体的には、メールの送信者や件名などを偽装するとともに、添付したウイルスを有用なファイルに見せかける。

 今回の模擬訓練の狙いは、このようなウイルス添付メールにだまされないようにすること。訓練では、標的型攻撃で用いられるようなウイルス添付メールを模擬した無害のメールを職員に送付。開いてしまった職員には、標的型攻撃の危険性や対策を教えるWebページを閲覧させて、セキュリティ意識を高めさせる。

 訓練を実施するのは、内閣官房情報セキュリティセンター(NISC)。NISCが送信した模擬メールに添付されたファイルを職員が開くと、NISCのWebサーバーに自動的に接続される仕組みになっている(図)。これにより、サーバー側ではどの職員がファイルを開いたのか確認できる。加えて職員のパソコンには、NISCが用意した教育用のコンテンツがWebブラウザー上に表示される。

 訓練終了後、参加した府省庁のCISO(最高情報セキュリティ責任者)に、その省庁の訓練結果を通知。府省庁内において適切な指導を実施するよう促す。加えて、CISOなどの連絡会議において、訓練結果の総評を報告するという。