Y Combinatorに現在参加しているRiotは、フィッシング詐欺を防ごうとしている。Riotは、偽のフィッシングをクライアント企業の社員に対して試みる。例えば「あなたのGoogleアカウントが無効になった」というメールを社員に送り、その通知メールの真偽を見分けられるかどうかを確かめる。
2ファクタ認証、シングルサインオン、アクセスポリシーのおかげで、プロダクトや社内ツールの保護はかつてないほど容易になっている。しかし大きな脆弱性として残っているのは人間だ。データ侵害の多くは、社員のアカウントの問題から始まる。
言い換えれば、企業のセキュリティは注意深さに欠ける社員によって左右されるということだ。だから今後は、セキュリティのリスクに関する社員教育が重要になるだろう。
Riotには現在、3つのモジュールがある。1つ目は社員に対して偽のフィッシング攻撃を仕掛ける。少なくとも1カ月半に1回はフィッシングのメールを受け取るなどと期間を設定し、テンプレートをライブラリから選ぶ。現時点でRiotから送信できる通知の種類はMicrosoft、Google、Dropbox、Slackのアカウントの停止、GoogleまたはDropboxの書類の共有、不明の相手からのボイスメールだ。
Riotの創業者でCEOのBenjamin Netter(ベンジャミン・ネッター)氏は筆者に対し「新しいボイスメールは、noreply.linkというドメインからのメールで通知される」と述べた。
2つ目は、管理者が社員のレベルをチェックできる使いやすいダッシュボードだ。社員がだまされなかったか、リンクをクリックしてしまった人はいないか、さらに悪い状況としてログインしようとしてパスワードを入力してしまった人はいないかを確認する。このダッシュボードで、時間の経過に伴う成長を見たり、一部の社員に対してさらに頻繁に訓練を実施したりすることができる。
そして3つ目として、社員が訓練にひっかかってしまった場合、企業は簡単なセキュリティトレーニングを提供できる。トレーニングはチャットのようなインターフェイスで、いくつかの質問が与えられる。デスクトップでもモバイルでも動作し、数分以内で終わる。メッセージを理解するには、退屈なウェブセミナーよりも短くて楽なトレーニングのほうが効果が高いだろう。
ネッター氏は「次のステップはCEOのトレーニングだ。これについてもいろいろ考えている。Amazonのギフトカードを10枚買ってきて欲しいというメールがマネージャーからアシスタントに対して送られるという話を、これまでにたくさん聞いた」と語る。
CEOに対する詐欺は、もっと深刻なことになりかねない。攻撃者は、多額の銀行振込を要求する請求書を経理部門に送ってくることもある。
ゆくゆくは、Riotは教育にとどまらないモジュールを提供する可能性もある。例えば、スタートアップは自社のRiotのデータに基づいて、サイバーセキュリティ保険商品の契約条件を保険会社と交渉できるかもしれない。
Riotを創業したネッター氏は、October(以前の社名はLendix)の共同創業者でCTOだった。Octoberはヨーロッパでトップクラスのクラウド貸借プラットフォームのひとつだ。ネッター氏はこの企業でリスク評価の経験を積んだ。
Riotはスタートしたばかりで、契約したクライアントはまだわずかだ。プランの価格は、社員50人以内の企業で、1カ月200ドル(約2万1500円)からとなっている。
[原文へ]
(翻訳:Kaori Koyama)