セキュリスト（SecuriST）® 新シリーズ「メール安全利用検定」および「認定メール安全管理士」をリリース

～従業員への知識定着とシステム運用を強固にするメールのセキュリティ教育～

GSX

2023年6月7日 10時00分

　グローバルセキュリティエキスパート株式会社（本社：東京都港区海岸1-15-1、代表取締役社長：青柳史郎、https://www.gsx.co.jp/、以下、GSX）はこの度、IT人材をはじめセキュリティに関わる皆のための認定資格「セキュリスト（SecuriST）®」の最新シリーズとして、サイバーセキュリティ第一人者である株式会社トライコーダ（東京都中央区銀座1-12-4、代表取締役：上野宣、https://tricorder.jp/、以下トライコーダ）の上野宣氏が全面監修した「メール安全利用検定」および「認定メール安全管理士」をリリースしました。標的型メール訓練サービス「トラップメール」とともに、メールによるサイバー攻撃対策を多角的に支援します。

「メール安全利用検定」および「認定メール安全管理士」新講座立ち上げの背景

　メールを利用したサイバー攻撃による被害がIPA公開の「情報セキュリティ10大脅威 2023」上位にランキングされています。この状況は数年来変わっておらず、メールによるサイバー攻撃対応の難しさを示していると言えます。

　インターネットを利用した攻撃の多くは、攻撃者が侵入する際のきっかけとしてメールが多用されます。攻撃者から送信されたメールが従業員のメールボックスに入らないようにしたり、従業員が添付ファイルなどを実行しないようにすることで、多くの攻撃を防ぐことができます。がしかし、従業員がメールを適切に扱うことを期待する行動だけに頼ったセキュリティ対策では効果がありません。メール経由で行われる攻撃対策の基本は次の通りです。

1.悪意あるメールを従業員に届かなくする

2.悪意あるメールを従業員が読まないようにする

3.悪意あるメールを読んだ従業員がフィッシングサイトを閲覧したり、添付ファイルを開かないようにする

これらを実現するメール経由で行われる攻撃の有効策は次の通りです。

1.技術的対策

　端末・サーバーの設定やソリューション導入などによって脅威を低減

2.技術的に止められない場合の対策

　インシデント対応力の強化

　監視による検知・遮断

　インシデント報告の周知徹底

3.認知能力（知識・経験）の向上

　教育・訓練の継続

　メール開封前の確認手段を規定

4.その他

　ルールの周知徹底

　モニタリングの強化

　技術的な個別制限など

　これら対策を啓蒙するとともに、当社がメール訓練で培ってきた知見、教育事業で培ってきたコンテンツ設計プログラムの知見といった当社の強みを活かし、教育講座として提供することとしました。

　講座開発にあたっては、株式会社トライコーダ上野宣氏監修のもと、同社での脆弱性診断により蓄積された攻撃手法の知見に基づき、講座内容が設計されているため、実効性の高い内容になっています。習熟度合いを測る試験問題については、インターネットサービスプロバイダ、セキュリティベンダなどを経て、現在はネット企業にてセキュリティ部門に所属する大角祐介氏監修のもと、情報セキュリティ知見や経験の深さのみならず、公平な作問とレビュー内容が反映されています。

講座の目的

　一般従業員向けの「メール安全利用検定」では、攻撃の傾向やメールを悪用した手口を学ぶことで、メール受信者が適切にメールを扱い、対処できるための能力を向上し、企業や組織の情報資産を守る能力を身につけることを目的としています。

　「認定メール安全管理士」は、攻撃の傾向やメールを悪用した手口に対抗するために、従業員のメールを管理するシステム管理者などが取るべきセキュリティ施策について学び、それを社内や組織において実施し、組織全体のセキュリティレベルが向上することを目的としています。認定メール安全管理士は、メール安全利用検定の知識を身につけた上での受講が必要になります。

「メール安全利用検定」とは

　メールを利用する従業員が日常業務でメールを安全に利用するための基本的な知識とスキルを習得し、フィッシング詐欺や標的型攻撃から身を守る方法を学ぶ、メール利用に特化したオンライン講座です。

　サイバー犯罪の中で最も多いのが「フィッシング詐欺被害」であり、現状サイバー犯罪の多くはメールが発端となっています。

フィッシング詐欺被害

*1：【出典】ノートンサイバー犯罪調査レポート2023 ｜2022年のサイバー犯罪被害総額は推定約1,045億円と被害は大型化｜https://prtimes.jp/main/html/rd/p/000000029.000069936.html

　インターネットを利用した攻撃の多くは、攻撃者が侵入する際のきっかけとしてメールが多用され、受信者がそのメールをどう扱うかによって攻撃の成否が決まります。そのため、受信者が攻撃者から送信されたメールに正しく対処することが、被害を防ぐことにつながります。

　従業員が最新の脅威について常に知識を更新する必要がある一方で、多くのセキュリティ侵害（意図しない情報漏えいなどの実害）は人間のエラー（脆弱性）から生じます。メールのセキュリティ教育は、定期的に実施することで攻撃メールに対する正しい行動が習慣化され、セキュリティに対する意識を高める助けとなります。

◆メール安全利用検定　メール安全利用検定公式トレーニング

講座概要	従業員が日常業務でメールを安全に利用するための基本的な知識とスキルを習得し、フィッシング詐欺や標的型攻撃から身を守る方法を学びます
受講推奨者	メールを利用する全ての従業員
研修時間	60分
開催場所	オンデマンド配信
受講料金（税込）	初年度：11,000円/名、2年目以降：8,250円/名 ※1年間の公式トレーニング利用料金になり、コンテンツ内で紹介している事例や新たな脅威やその対策などは定期的に更新されます
備考	・専用電子テキストをご提供します・オンデマンド受講環境は1年間利用可能です

メール安全利用検定公式トレーニング詳細についてはこちらから

https://www.gsx.co.jp/services/securitylearning/securist/EmailSafetyTest.html

「認定メール安全管理士」とは

　メールシステムを運用する情報システム部門スタッフがメールシステムのセキュリティを強化するための高度な知識と技術（メール経由での攻撃対策、メール送受信の仕組みや暗号化手法、ドメイン認証やサーバーのセキュア化などを含む）を習得できる資格認定講座です。

　ID・パスワードの窃取による「認証情報*2被害」は、クラウド時代の今日、多くの被害が発生しています。不審メールを契機にして、芋づる式に被害が発展しています。

*2：インターネット上のサービスを利用する際に入力するアカウントID/パスワード

認証情報被害

　認定メール安全管理士では、システム管理者がメールを経由した様々な脅威から企業を守るための総合的な知識と技術を提供します。SMTP、POP／IMAP、SPF、DKIM、DMARCなどの設定方法から、メールサーバーやクラウドメールのセキュリティ対策、悪意ある添付ファイルやURLの対処法まで、幅広くカバーしています。

◆認定メール安全管理士　認定メール安全管理士公式トレーニング

講座概要	システム管理者向けに、メールシステムのセキュリティを強化するための高度な知識と技術を提供します（メール経由での攻撃対策、メール送受信の仕組みや暗号化手法、ドメイン認証やサーバーのセキュア化などが含まれます）
受講推奨者	システムやネットワークを管理し、対策を立案・実施する人々
研修時間	180分
開催場所	オンライン（ライブ配信）
受講料金（税込）	講座＋試験：88,000円/名 ※公式トレーニング受講費用および認定メール安全管理士の受験費用が含まれます
備考	・専用電子テキストをご提供します・認定試験1回分が受講料金に含まれています・初開講日は2023年6月26日（月）お申し込みはこちらから　https://www.gsx.co.jp/WebAppNWsecuritytesting_inquiry?coursename=cesm

認定メール安全管理士公式トレーニング詳細についてはこちらから

https://www.gsx.co.jp/services/securitylearning/securist/CertifiedEmailSafetyManager.html

「メール安全利用検定」および「認定メール安全管理士」全面監修上野宣氏からのメッセージ

　今回、「メール安全利用検定」および「認定メール安全管理士」の全面監修を務めさせて頂きました。

　サイバー攻撃の実行手段としてメールが利用される現状は、我々が日々直面している脅威です。しかし、この脅威は理解と対策によって大きく軽減することが可能です。メールを安全に利用するための知識とスキルを身につけ、それを日常的に適用することで、私たち自身を守り、また自身が属する組織を守ることができます。

　この講座を通じて、サイバー攻撃に対する認識を深め、自身と周囲の安全を確保する手段を習得し、セキュリティを一層強化していきましょう。これらの講座が企業や個々の利用者に対して、メールを通じたサイバー攻撃の防止に資することを心から願っています。

上野宣氏（UENO Sen）のご紹介｜講師をご担当

2006年に株式会社トライコーダを設立。企業や官公庁などにサイバーセキュリティ教育やトレーニングを提供。OWASP Japan 代表、JNSA ISOG-JセキュリティオペレーションガイドラインWG（WG1）リーダー、情報処理安全確保支援士集合講習講師、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌ScanNetSecurity編集長、Hardening Project実行委員、SECCON実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習NICTサイバーコロッセオ推進委員、NICT実戦的サイバー防御演習CYDER推進委員、Flatt Security社外取締役などを務める。

主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ（TCP/IP, HTTP, メール）』など他多数。第16回「情報セキュリティ文化賞」、（ISC）2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント（ISLA）受賞。

大角祐介氏（OSUMI Yusuke）のご紹介｜レビュー・試験問題作成をご担当

ISP、セキュリティベンダなどを経て、現在はネット企業にてセキュリティ部門に所属。情報セキュリティスペシャリスト、CISSP、CISA等取得。

主な著書に「新しいLinuxの教科書」「正しく怖がるフィッシング詐欺」など。受賞歴や発表歴は以下の通り。

・「情報セキュリティワークショップin越後湯沢2022」ナイトセッション講師

・「JPCERT/CC 感謝状 2020」受賞

・「JPAAWG 4th General Meeting」講演 "フィッシングサイト発生時の対応

・「 InternetWeek 2019」講演 "Webサイト改ざんにより盗まれるクレジットカード情報

セキュリスト（SecuriST）® シリーズについて

　情報セキュリティについて体系立てた知識を学び、共通言語化できるスキルの習得を目的としています。情報セキュリティ領域を専門分野として事業を展開する当社GSXが創設した、現場で求められるセキュリティ人材を育成するトレーニングコースです。以下の特長があります。

・受講者数2 年7か月で 4,600名超え（*3）

・脆弱性診断の第一人者・上野宣氏が全面監修

・有益な研修だと評価した人 99％（*4）

*3：2020年11月～2023年5月までの全体受講者数

*4：「セキュリスト（SecuriST）® ゼロトラストコーディネーター」受講者の評価

トレーニングコース	トレーニングコース概要
認定ネットワーク脆弱性診断士	セキュアなネットワークシステム構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます。
認定Webアプリケーション脆弱性診断士	セキュアなWebシステム／Webアプリケーション構築に必要な脆弱性診断技術を、実施方法やツールの使い方、レポートの書き方などを、実践・実習を通して具体的に学びます。
認定セキュアWebアプリケーション設計士	Webサイトを取り巻く現状を学ぶことから始まり、Webシステムに対する攻撃手段とその仕組みなどについて学び、安全なWebアプリケーション開発のために必要な要件と設計の具体例を学びます。
ゼロトラストコーディネーター	「ゼロトラスト」の考え方・要点の理解から導入計画の立案までを学ぶ講座です。ゼロトラストの概念を理解した上で、組織の状況や課題に合わせて持続可能なセキュリティ対策を実現する人材を育成します。プラス・セキュリティ*5寄りの講座です。