KnowBe4, Inc.

セキュリティ意識向上トレーニング&フィッシングシミュレーション「KnowBe4」

セキュリティ意識向上トレーニング&フィッシングシミュレーション「KnowBe4」は、従業員個人のセキュリティ意識のアセスメントを行い最適な教育プログラムを提供し、模擬的なフィッシング攻撃を仕掛け、組織全体および従業員個人のセキュリティリスクをやふるまいを可視化することをワンストップで提供し、フィッシング詐欺メールを防御する最大の対策である「Human Firewall」を実現する唯一のプラットフォームです。
今まで把握できなかった「人」、「組織」、「企業」のリスクレベルを可視化し最適な対策を施すことができるようになるだけでなく、従業員のセキュリティ意識の向上にも寄与します。

ランサムウェア攻撃、スピアフィッシング攻撃など、数多くのテンプレートとランディングページを用意しており、映画さながらの動画による教育コンテンツ、本番さながらのメール攻撃演習が行えます。

動画掲載

play_circle_filledKnowBe4社紹介動画 fiber_new

play_circle_filledInsideMan動画 fiber_new *Inside Man:外部から忍び寄る内部犯行

≪セキュリティ業界のNetflix≫
KnowBe4の動画と演習で「人」をファイアウォール化。"新しい学び方"を提唱するKnowBe4のセキュリティ 意識向上トレーニングがいかに楽しいものかご確認ください。

KnowBe4社によるブログ

ホワイトペーパー

特長

世界の調査会社・企業が認めた、「人」にフォーカスしたフィッシング詐欺攻撃の防御を実現可能にするプラットフォーム

KnowBe4自動化の仕組み

①全従業員を教育する(セキュリティ意識向上トレーニング)全従業員を教育する(セキュリティ意識向上トレーニング)
求められるセキュリティ上の判断に社員ひとりひとりの的確な意志決定を可能にする。

②全従業員にサイバー攻撃被害の擬似体験を経験(訓練)全従業員にサイバー攻撃被害の擬似体験を経験(訓練)
豊富なテンプレートとランディングページを活用した本番さながらな攻撃の擬似体験。

③現状把握、分析、効果を数字で可視化 (レポーティング)現状把握、分析、効果を数字で可視化 (レポーティング)
PPP(Phishing Prone Percentage:フィッシング詐偽ヒット率を数値化。
個人、部署、組織レベルでリスクを可視化。

  • 世界最大のセキュリティコンテンツ数を誇るプロバイダが提供するサービス
  • 攻撃シミュレーション、教育、分析を組み合わせたクラウド管理型プラットフォーム
  • “Human Firewall”を実現する統合プラットフォームを提供
    • フィッシングシミュレーション、分析、教育を自動化できるプラットフォーム
    • 4,000種類を超えるフィッシング、標的型メール、ランサムウェアなど実際に起こり得る攻撃をシミュレーションしたテンプレートを用意
    • テンプレートは無制限に利用可能
    • コンテンツ数1100種類以上(日本語コンテンツ155種類)
      *セキュリティだけではなく、最近話題のリモートワーク、COVID-19ベストプラクティスなどのコンテンツも提供
    • 「人」、「組織」、「企業」のリスクレベル、PPP(Phish Prone %)を可視化
    • AD(Active Directory)連携によるユーザ管理
  • 企業の漏れているアカウントやメールアドレスの情報を定期的に診断・報告
  • 分析機能を活用し、学習課題を見つけ、従業員の属性に基づいた適切な是正教育を自動化
    • セキュリティ意識レベルの実力評価(アセスメント機能)
    • セキュリティカルチャー評価(アセスメント機能)
  • 悪意のあるメールと正常なメールを自動的に分類、優先順位付けして分析(PhishER機能
  • 世界の調査会社、企業が認めたサービス
    • 米ガートナ社がMagic Quadrant for Security Awareness CBT(Computer Based Training)分野におけるリーダーとして位置づけ
    • Expert Insights社がマーケットリーダとして認める
    • Frost & Sullivan社がユーザにとって価値があるサイバーセキュリティ教育プラットフォームとして認める
    • 31,000社を超える企業への導入実績
    • ROI:127%(Forester社による調査結果)と導入価値のあるサービス
  • 予算、ユーザ数、企業ポリシーに応じて提供できるライセンス形態
  • VRO(Virtual Risk Officer)によるAI分析
  • Phish Alertボタンによる怪しいメールの連絡、削除を自動化
  • MSA(Mail Server Asessment)によるメール環境のアセスメント

機能

無制限の利用無制限の利用
3つのトレーニングアクセスレベル( I、II、III ) を用意し、900種を超えるコンテンツのライブラリーへのアクセスを、サブスクリプションレベルに
応じて提供。

学習意欲を高めるインタラクティブなトレーニング学習意欲を高めるインタラクティブなトレーニング
インタラクティブなトレーニングは、全く新しい“学びと経験”(“New School”)を提供し、学習する意欲を向上させます。
現在、15 ヶ国の言語をサポートしており、ユーザーインターフェイスとして言語を選択することができます。

各自コンテンツのアップロード各自コンテンツのアップロード
SCORM 準拠の自社教育コンテンツや動画コンテンツ をKnowBe4のセキュリティ意識向上トレーニングプラットフォーム上にアップロードして、
すべてのトレーニングコンテンツを一箇所に置き、社内展開することが可能です。

独自のフィッシングテンプレートとランディングページの作成独自のフィッシングテンプレートとランディングページの作成
KnowBe4が用意した4,000種類以上の既存テンプレートに加えて、トレーニング受講者独自の情報をベースにフィッシング攻撃シナリオを
カスタマイズして、本番さながらの偽装添付ファイルを作成し、自社独自の標的型スピアフィッシングメール訓練を作成できます。
それぞれのフィッシングメールテンプレートにはカスタムランディングページを設定させることができ、
インシデント発生時点の教育も可能になります。

Phish AlertボタンPhish Alertボタン
各種メーラーのアドイン機能としてPhish Alertボタンを用意しています。このボタンによって、不審メールをセキュリティ担当者へ転送して分析
することができます。報告後は、受信ボックスから不審メールを削除してメール脅威へのリスクを低減し、脅威の拡散を防止できます。

ソーシャルエンジニアリングインディケーターソーシャルエンジニアリングインディケーター
特許取得済みのテクノロジーによって、それぞれの模擬フィッシングメール結果を「セキュリティ教育のプラット フォーム」に変えます。

ASAP(Automated Security Awareness Program - 自動化セキュリティ意識向上プログラム)ASAP(Automated Security Awareness Program:自動化セキュリティ意識向上プログラム)
自社の組織向けにカスタマイズされた教育トレーニングプログラムを自動的に構成し、自社にとって最適な教育トレーニングプログラムを
数分で作成し、実装できます。

受講者管理受講者管理
Active Directory インテグレーションによって、受講者データのアップロードが用意になり、手動による変更管理が不要になることにより、
大幅な時間短縮を実現します。さらに、Smart Group(スマートグループ)機能を活用して、自社のフィッシングメールトレーニング、学習課題、
各受講者の振る舞いや受講者属性に基づいた最適な学習などを自動化することが可能になります。

アセスメント機能 fiber_new

セキュリティ意識レベルだけでなく組織におけるセキュリティカルチャー(組織のセキュリティに影響を与える考え方、習慣、社会的行動)を7つのカテゴリーに分類し、その評価をスコアで可視化します。これにより従業員個人、さらには組織全体のセキュリティ意識レベルの強みと弱みを洞察し、「KnowBe4」のセキュリティ教育コンテンツを組織全体で適切に受講できるようにします。そしてセキュリティ意識レベルと知識を向上させ、“Emotet”のようなスピアフィッシング対策(予防)の実現に貢献します。

セキュリティ意識レベルの実力評価 (Security Awareness Proficiency Assessment:SAPA)

セキュリティ意識レベルの実力評価 (Security Awareness Proficiency Assessment:SAPA)イメージ画像

  • 全従業員を対象にセキュリティ意識レベルを評価 (アンケート形式)
  • 評価の結果は、組織の強みと弱みに分けて提供 (サマリー分析レポート)

結果に応じて個人単位で抱える課題に絞ったセキュリティ教育カリキュラムを立案。

セキュリティカルチャー評価 (Security Culture Assessment:SCA)

  • 組織全体のセキュリティカルチャーを評価
  • 評価の結果を全体および、7つのカテゴリーごとに提供

結果を活用してセキュリティカルチャーのベースラインを確立し、セキュリティカルチャーの変化・進化に追従しながらセキュリティ教育カリキュラムを立案。

Security Culture Assessment (SCA)イメージ図①
Security Culture Assessment (SCA) イメージ図②

トレーニングプログラム

Kevin Mitnick (ケビン・ミトニック) のハッキング経験とハッカー視点の知見をベースに、ソーシャルエンジニアリング攻撃、スピアフィッシング攻撃やランサムウェア攻撃などのセキュリティ課題に対する、効果的な対応が実現可能なプラットフォームを提供します。
“New School”と呼ばれるユーザーフレンドリーな新しい形態のセキュリティ意識向上トレーニングプログラムに基づいたフィッシングメール訓練により、自社の従業員がフィッシングに対してどれだけ脆弱であるか をPPP(Phishing Prone Percentage:フィッシング詐偽ヒット率) として”見える化”します。さらに、従業員が模擬フィッシングメールに誤って返答した場合には適切なアドバイスを提供します。

トレーニングアクセスレベル

1100種類以上(日本語コンテンツ155種類)のセキュリティコンテンツライブラリーを提供しています。3つのトレーニングアクセスレベル ( I、II、III ) を用意し、常に新鮮なコンテンツライブラリーへのアクセスが可能です。
KnowBe4が提供するトレーニングは、スパム、フィッシング、スピアフィッシング、ファイル内に仕込まれたマルウェア、標的型攻撃などのメカニズムを理解することにフォーカスし、この知識を日々の業務に適用することを目的としています。

フィッシングテスト

PPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)の推移

PPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)の推移

4,000種類を超える“実践型" テンプレートのライブラリーからフィッシングセキュリティテストを定期的に実施するようにスケジュールすることができます。定期的に実施されるフィッシングテストとセキュリティ意識向上トレーニングによって、自社の「Human Firewall」が継続的に改善され、リスクの軽減とITセキュリティ防御の強化が実現されます。
さらに、メーラーのアドイン機能として組み込まれる「Phish Alertボタン」を押すことで、従業員はワンクリックで不審メールを管理者へ報告でき、報告されたメールは専用のメールボックスへ転送することが可能になります

アドバンスドフィッシング機能

PhishER fiber_new

PhishERイメージ画像

PhishER」は、フィッシングメールなどの悪意のあるメールを自動的に判別し、対応の優先順位付けをするSOAR(Security Orchestration, Automation and Response)プラットフォームです。脅威への対応を自動化し、従業員からIT管理者へ報告される大量の不審メールに迅速に対応します。 不審メールは、KnowBe4が提供する「Phish Alertボタン」によって、または単純にメールボックスへの転送で報告されます。メールの優先順位付けを自動化することによって、IT管理者やセキュリティ担当者の受信ボックス内のノイズをカットし、最も危険な脅威への対応を迅速化・効率化することを可能にします。

受講者管理とレポーティング

Smart Group (スマートグループ)

各受講者の振る舞いや受講者属性を確認することができ、これをベースに、自社のフィッシングキャンペーン、学習課題、是正学習などを自動化することが可能になります。インシデント発生時の最適な学習やフィッシングクリックへの対応の自動化などを設定すれば、後の操作は一切不要なフィッシングメール訓練やその他トレーニングを実行することができます。

受講者管理

Active Directory(AD)インテグレーションによって受講者データを容易にアップロードすることを可能になります。これによって、手動での受講者変更を管理する必要がなくなり、セキュリティ意識向上トレーニングプロジェクトの管理者(セキュリティ担当者)の負担を軽減することができます

レポーティング

レポーティングイメージ画像

Virtual Risk Officer (VRO) とアドバンスドレポーティング機能 によって強力なエンタープライズクラスのレポーティングが可能になり、セキュリティ意識向上プログラムにアクション可能なメトリックスが定義できるようになります。これにより、トレーニングROIを最大化することができる同時に、セキュリティコンプライアンスの状況をトラッキングすることが可能になります。

KnowBe4の詳細な機能をご紹介します。
デモをご希望の方はこちらからお申込み下さい。

ラインアップ

4種類のパッケージを用意

KnowBe4 パッケージ

※詳しい教育内容についてはお問い合わせください。

イメージ

企業全体のリスクレベルの把握、効果の可視化

企業全体のリスクレベルの把握、効果の可視化

フィッシング攻撃メールへの応答傾向の把握

KnowBe4 フィッシング攻撃メールへの応答傾向の把握

リアルフィシングメールとシミュレートフィッシングメールの傾向分析

業界ベンチマーク

フィッシング攻撃の結果

動画

KnowBe4社紹介動画 fiber_new

KnowBe4社紹介動画

InsideMan fiber_new

InsideMan動画

セキュリティ業界のNetflix

≪「Inside Man」:外部から忍び寄る内部犯行(日本語吹替版)≫
KnowBe4の動画と演習で「人」をファイアウォール化。
"新しい学び方"を提唱するKnowBe4のセキュリティ 意識向上トレーニングがいかに楽しいものかご確認ください。

サイバーセキュリティ関連参考情報

サイバー犯罪の現状

フィッシングメールの現状

  • 情報漏洩の93%は「人」を対象とした攻撃。
  • その96%は電子メールを起点とした攻撃。
  • メールフィルターなどを利用して防御できるのは84%程度。
    言い換えれば16%の攻撃メールが従業員に届いてしまう。
  • 企業のセキュリティ投資の61%はセキュリティ機器に使われている。
  • セキュアメールゲートウェイには7%の投資しかされていない。

スピアフィッシング(標的型攻撃メール)の現状

  • スピアフィッシング攻撃による情報漏洩の成功率は91%と驚異的な数字。
  • ランサムウェアは2017年に5,000億円以上の犯罪ビジネスになっている。
  • CEO詐欺(ビジネスメール詐欺)は5,300億円以上の被害になっている。
  • W-2 Scam、経理部門、人事部門を狙った攻撃が増え続けている。
標的型攻撃メールによる被害は金額だけでなく、業務効率の低下、ブランドイメージダウン、機会損失など企業の存続に影響を与えてしまう。

現状のサイバーセキュリティ対策の現状

  • どんなに優れたセキュリティ機器やSW(サービス)を使っても「人」に届かなくするのは現実的に厳しい。
  • 昨今、攻撃者のメールも巧みな表現になっていたり、従業員や上司などを装ったり、実在するサービスを提供している企業を装ったりしているので見極めるのが難しくなってきている。
  • 従業員、派遣社員が使っているパソコンが脆弱であれば、AD情報、IPアドレス、ホスト名、画面情報などを奪われ、更に脆弱性を持ったプラグインが使われていれば、狙われるリスクが増える。
  • 世界中のユーザーコミュニティと連携して、毎週新しい攻撃を追加
  • 攻撃の発見からレポートまでの侵入テストを自動化し、攻撃者が実際の攻撃で何をするのかを正確に把握
  • 2,200以上のエクスプロイト、3,500以上のモジュールをサポート

サイバーセキュリティ対策の現状

現状のサイバーセキュリティ対策

  • どんなに優れたセキュリティ機器やSW(サービス)を使っても「人」に届かなくするのは現実的に厳しい。
  • 昨今、攻撃者のメールも巧みな表現になっていたり、従業員や上司などを装ったり、実在するサービスを提供している企業を装ったりしているので見極めるのが難しくなってきている。
  • 従業員、派遣社員が使っているパソコンが脆弱であれば、AD情報、IPアドレス、ホスト名、画面情報などを奪われ、更に脆弱性を持ったプラグインが使われていれば、狙われるリスクが増える。
  • 世界中のユーザーコミュニティと連携して、毎週新しい攻撃を追加
  • 攻撃の発見からレポートまでの侵入テストを自動化し、攻撃者が実際の攻撃で何をするのかを正確に把握
  • 2,200以上のエクスプロイト、3,500以上のモジュールをサポート

サイバーセキュリティ教育のスタイルの違い

オールドスタイル

  • 集合教育
  • E-ラーニング
  • パワーポイント資料
  • 年に1回開催など
社員の時間調整が困難、効果の把握ができない、数日後全てを忘れている場合がほとんど

ニュースタイル ~”Human Firewall”アプローチ~

  • 最新のセキュリティ意識教育、模擬訓練、効果の把握
  • 社員が抱える脆弱性の可視化
  • 業界ベンチマークの把握
  • 不信メールの報告プロセスの確立
  • 自動化
  • 社員の被害リスクを軽減、ROIの可視化