仮名化による個人情報の保護に配慮したパブリッククラウド型フィッシングメール対応訓練システムの開発

摘要

近年，特定の組織を対象としたフィッシングメールが脅威となっている．フィッシングメールによる攻撃手段の1つとして，電子メールにより攻撃対象者を偽物のウェブサイトへ誘導し偽物のログイン画面にユーザ名やパスワードを入力させることで情報システムへ不正アクセスするための情報を収集する方法がある．この対策として，電子メールナィルタや侵入防止システムといった情報セキュリティシステムの導入に加えて，組織の構成員に対する情報リテラシ教育も重要であり，フィッシングメールに対する訓練が多くの組織で実施されている．攻撃対象者がフィッシングメールにより誘導されるウェブサイトを偽物であると判断するためには，ウェブサイトのドメイン名が正しいことの確認に加え，サーバ証明書も正しいことを確認する必要がある．より現実の攻撃に似た状況で訓練を実施して教育効果を高めるには，組織内よりも組織外のドメイン及びサーバ証明書を用いて訓練用のフィッシングサイトを運用することが望ましいと考えられる．しかし，多くのオープンソースソフトウェアのフィッシングメール対応訓練システムでは，サーバに訓練対象者のメールアドレスを保存する実装になっており，組織外のサーバに個人情報を保存することは運用リスクを高めてしまう．そこで本研究では，組織外のパブリッククラウドに配置可能なフィッシングメール対応訓練システムでありながら，訓練対象者の氏名，役職，メールアドレスといった個人情報は仮名化により管理主体を分離することで，訓練システムに係る情報セキュリティインシデント発生時に個人情報の漏洩対策を講じられるシステムを開発した．本稿ではそのシステムの開発について述べる．