驚くほど高騰した標的型攻撃メール訓練の外注費用の変遷

私が所属する組織では、まだ世間がランサムウェアやサイバー攻撃の脅威を実感していなかった平成24年から、標的型攻撃メール訓練を情報セキュリティベンダーに業務委託して実施しておりましたが、当時は10,000メールアドレスを対象に、送信回数2回(1週間に1回)で、必要な費用は報告書作成費込みで50万円ほどでした。

平成25年も同様の内容の標的型メール攻撃訓練を実施し、費用も同じく50万円ほどで、情報セキュリティ関連のサービスを提供する会社に請負ってもらいました。

平成26年は、標的型攻撃メール訓練は実施せず、違う内容の情報セキュリティ対策訓練を実施したので、標的型攻撃メール訓練の相場は調べませんでしたが、前年と大きく相違はなかったはずです。

平成27年から訓練費用は一気に高騰した

そして、平成27年、日本年金機構で、標的型攻撃メールによる情報漏洩事故が発生し、サイバー攻撃の脅威がようやく世間に知られることとなり、その後に我が組織も、「今年度(27年)は再度標的型メール訓練を実施すべし」と上層部からオーダーが出て、調べたところ、対象数(対象メールアドレス数)100の標的型攻撃メール訓練で、なんと驚きの1,500,000円など、日本年金機構の情報漏洩事故の後、急激に需要が増えたのでしょう、訓練実施価格は一気に高騰していたのです。

10,000アドレスだと750万円

試しに、以前にも標的型攻撃メール訓練の見積りをお願いしたり、他の業務を委託したりしたこともある、大手通信会社のセキュリティ部門に、日本年金機構で標的型攻撃メールによる情報漏洩事故が発生して以降に10,000メールアドレスを対象とした標的型攻撃メール訓練の見積りを取ったところ、な、なんと750万円という、想像を絶する価格が提示されました。付き合いのある当方への価格なので、飛び込みで依頼すれば、軽く1千万円を超える費用を見積もっていたのだと思います。

準備作業内容の単純さを突きつけて、100万円に値下げ

私は自身で、情報セキュリティベンダーが実施するのと同じ仕様の標的型攻撃メール訓練を実施する知識があり、訓練対象数が100でも10,000でも、準備にかかる時間や必要な機材、人員は大差ないことを知っているので、比較的まともに話が出来そうなセキュリティベンダーの営業マンに、見積価格の根拠を問い、こちらも要求仕様を送信回数1回にするなど、下げるところは下げて、27年度の標的型攻撃メール訓練は10,000アドレス対象におよそ100万円で業務委託しました。

平成28年は、完全に売り手市場だった

27年は、多くの情報セキュリティベンダーで標的型攻撃メール訓練サービスがはじまったばかりでもあったので、きっちり交渉して大幅値下げをしてもらうことが出来ましたが、28年には、標的型攻撃メールによる情報漏洩やランサムウェアによる被害も断続的に報道されていたこともあり、情報セキュリティベンダーが提示する価格でも標的型攻撃メール訓練を依頼する企業も増え続けていたのでしょう。標的型攻撃メール訓練市場は完全に売り手市場になり、情報セキュリティベンダーは、値下げ交渉せず提示価格でも依頼してくる企業の訓練で手一杯という状況になりました。

2,000アドレス100万円で妥協した

そんな状況だったので、これまで通りの10,000アドレスを対象とした標的型攻撃メール訓練は、予算的に不可能となったので、28年度の標的型攻撃メール訓練は、抽出した2000アドレスを対象として、100万円ほどで外注しました。この代金でも、世間の相場と比べるとかなりの低価格で、まともに2,000アドレス対象の標的型攻撃メール訓練を100万円でやってほしいと依頼しても、受けてくれる情報セキュリティベンダーは皆無だと思います。

怪しい模擬訓練メールを送り、添付ファイル開封、本文URLリンククリックをカウントするだけの、片手間に出来て簡単なサービスなのに大きく利益が出る、そんなビジネスモデルが平成28年に確立したのです。

29年度のユーザー動向と必要とされる訓練

29年度も一定数のユーザーはこれまでと同じ内容の標的型攻撃メール訓練を実施するでしょうが、世の中の大組織では、インターネット接続は仮想化するなど、メールに添付されたウィルスが仕込まれたファイルを開封させる、メール本文に記載されたUPLをクリックさせるといった攻撃への耐性が出来はじめています。

仮想化が進めばランサムウェアによる被害も減るでしょう。よって情報セキュリティベンダーもこれまでの訓練方法から、フィッシングサイト対策訓練に移行していく必要があるでしょう。すでに私は情報セキュリティベンダーに29年度以降に必要とされるであろう情報セキュリティ訓練について提案を行い、情報セキュリティベンダーも新たな訓練を用意しなければ、これまでのように儲けることが出来ないことを理解しはじめています。我が組織においても29年度はこれまでと異なる訓練内容の要求仕様書を作成するための技術的情報の収集を行っています。