おれさまラボ

実際に手を動かして理解を深めるブログ。

トップ > NIST Phish Scale User Guide のメモ

NIST Phish Scale User Guide のメモ

はじめに

2023年11月に、NIST Technical Note 2276「NIST Phish Scale User Guide」が公開されました。まとめようとして、まとめられていなかった記事の昇華です。(1年越し…)

出典

「NIST Phish Scale User Guide」は、NISTのサイトから入手できます。

csrc.nist.gov

NIST Phish Scale User Guide とは

NIST Technical Note 2276「NIST Phish Scale User Guide」は、フィッシングメールの検出難易度を評価するための手法「NIST Phish Scale」を解説しています。このガイドは、サイバーセキュリティおよびフィッシング意識向上トレーニングの実施者が、フィッシングメールの人間による検出難易度を評価し、トレーニングプログラムの効果を高めることを目的としているとのことです。

要点は以下のとおりです。

  • 世界的にフィシング攻撃の脅威が高まっている。
  • 従業員がフィシングメールに引っかからないように、トレーニングプログラムを実施することがある。
  • レーニングを実施した結果を評価するための物差しを用意したから説明するよ。

目的

Phish Scaleは、フィッシングメールがどれだけ検出しやすいかを定量的かつ客観的に評価するための "物差し" とのこと。

従来のフィッシング対策トレーニングでは、メールの難易度が十分に考慮されないことが多く、受信者のスキルに応じた適切なトレーニングを提供するのが困難だったそうです。この課題を解決するため、Phish Scaleは以下の2つの要素に基づいてフィッシングメールの難易度を評価します。

視覚的手がかり(Perceptual Cues)

メール内で受信者がフィッシングを見破る手がかりとなる情報の数と種類を評価します。これには、不自然なリンク、疑わしい送信元アドレス、不適切な文法やスペルミスなどが含まれます。

前提整合性(Contextual Alignment)

メールの内容が受信者の業務や役割、状況とどれほど一致しているかを評価します。例えば、財務部門の従業員が請求書関連のメールを受け取る場合、その内容が業務と合致していればフィッシングと見抜くのは難しくなります。

フィッシングメールの難易度分類

Phish Scaleでは、視覚的手がかりと前提整合性を組み合わせることで、フィッシングメールの検出難易度を5段階に分類し、これを尺度として評価に使用します。

非常に難しい(Very Difficult)

視覚的手がかりが少なく、前提整合性が非常に高いケース。

難しい(Difficult)

視覚的手がかりは少ないが、前提整合性がやや高いケース。

中程度(Moderate)

視覚的手がかりと前提整合性が平均的なケース。

簡単(Easy)

視覚的手がかりが多く、前提整合性が低いケース。

非常に簡単(Very Easy)

視覚的手がかりが非常に多く、前提整合性がほとんどないケース。

活用方法

Phish Scale(フィッシングメールの難易度分類)を行うことで、以下のような活用方法につながるそうです。

メールの分析

レーニングで使用するフィッシングメールを選定し、視覚的手がかりと前提整合性を評価します。この段階では、ガイド内で提供されるワークシートや評価基準を活用します。

難易度の決定

分析結果を基に、メールの検出難易度をPhish Scaleの5段階のどこに分類するかを決定します。

レーニングの計画

難易度に応じてトレーニング内容を調整します。例えば、初心者向けには「非常に簡単」なメールを、上級者には「非常に難しい」メールを用意します。

結果のフィードバック

レーニング後、従業員に結果をフィードバックし、どのような手がかりを見逃したかを解説します。

つまり、従来のような画一的なトレーニングではなく、ユーザーによってどのようなフィッシングメールを送るべきか考慮する点が大きなポイントのようです。

NIST Phish Scale User Guide によれば、受信者が「難しい」メールを見破れない場合、次回のトレーニングでその特性を強調するような内容を追加すると良いそうです。また、全体的な傾向を分析することで、組織内で特に弱点となっているフィッシング手法を特定し、それに対処するトレーニングを設計することで、改善を進められるとしています。

おわりに

NIST Phish Scaleは、フィッシングメールの難易度を科学的に評価し、トレーニングプログラムをより効果的にするためのフレームワークということがわかりました。従業員のセキュリティ意識を高めていくこともセキュリティ対策の大切な要素です。特にメールが入口となるフィッシングメールやビジネスメール詐欺(BEC)への対策として、一般的には非常に効果が高いとされています。トレーニングのひとつの尺度として、NIST Phish Scale をひとつの引き出しとして持っておくのも良いなと思いました。

少しでも役に立ったなという方は、ビール一杯奢ってください!

この続きはcodocで購入