標的型メールは見抜くことが難しい。は誤りです

標的型メール訓練の実施に回数の話を持ち込むのは、もうやめにしよう

[標的型メール訓練]

もうやめにしよう
標的型メール訓練を実施するというと、訓練は2回やったほうがいいんですか?それとも1回だけでいいんですか?といった質問を頂くことがあります。

標的型メール訓練サービスを提供している会社の多くは、2回訓練を実施するのが標準で、2回目は1回目より開封率が下がることで、訓練実施の効果があった。ということをお客様に確認頂くことがスタンダードなやり方だったりしますが、このようなやり方が、今では弊害を生み出してしまっていると自分は思っています。

開封率の話があるから、回数の話になる

訓練は2回やった方がいいのか?という質問の前提には、必ずと言っていいほど「開封率」の前提があります。

「開封率」を比較することのために、2回やるべきなのか?といった質問が出たりするわけですが、開封率が下がったらそれは、訓練実施の効果があったということなのか?というと、それは違います。

同じ内容のメールを2回送れば、1回目のメールで訓練だと気づいた人はメールを開くはずがありません。実際にはそれでもメールを開いてしまうような人も居るには居るのですが、それは少数派なので、2回目のメールでは当然、開封率が下がることになります。

訓練だと気づいてメールを開かないというのは、訓練実施の効果があったというよりは、訓練だとバレてしまっているので、訓練のやり方自体が正しくないということになり、この事実を無視して効果があった。などというのはナンセンスでしょう。

そうは言っても、「役員は数値でしか見てくれないから」ということで、開封率が下がった結果が欲しい。という方もいるかもしれませんが、そこは、「あなたは会社を守りたいのか、それとも数値を見て満足したいだけなのか?」と食ってかかるくらい頑張って頂きたいものです。

訓練実施によって何を達成したいのか?を考えよう

訓練は2回やったほうがいいんですか?それとも1回だけでいいんですか?といった質問を頂いた時には、必ず、今回の訓練実施では、何を達成したいと思うのかをまず明確にしましょう。ということをお話しするようにしています。

ここで「2回がいいですね」などと、回数の話をするような方がいたら、その人は訓練実施に関しては大して知識を持っていない。と考えてまず間違いありません。それが訓練実施サービスを売り込みに来た営業マンなら、話だけ聞いてお引き取り頂いた方が無難です。

訓練の実施回数について質問をする方は、訓練実施によって、何を達成したいのか?が明確になっていない事がほとんどです。

今回の訓練で何を達成したいのか?例えば、

「標的型メール」という言葉を知ってもらいたいということなのか?
「標的型メール」かどうかを見分ける目を養いたいのか?
「標的型メール」だと気づいたときのエスカレーションフローを確認したいのか?

などなど、組織の状況や対象者のレベルによって、達成したいゴールはまちまちであり、全てを1回の訓練で達成できる。などということはありません。

その時の最大の目標を何に置くか?これが明確であれば、訓練の実施回数について質問が出るはずも無く、出るとしてもそれは、訓練実施の前提の説明が必ず先にあって、その上で、何を何回行うのがよいか?といった、選択を問う形の質問となるはずなのです。

標的型メール訓練を軽く考えるなかれ

標的型メール訓練というと、多くの業者が『訓練メールを送って、誰が模擬のマルウェアファイルを開いたか?を計測し、模擬マルウェアファイルを開いてしまった人を教育する』といった流れを紹介していることから、素人目には、訓練ってそういうものでしょ。と思ってしまいがちですが、これは訓練の正しい姿では無く、ある一断面を切り取ったものに過ぎません。

この一断面だけを捉えて、訓練なんて難しいものではないから、業者の選定も含めて新人君に任せるよ。としている組織もあるようですが、これは非常に勿体の無いことです。

当の新人君が、訓練実施の本質に気がついていて、模擬マルウェアファイルを開いてしまった人を教育するということは、訓練実施における一つの側面でしかないとわかっていればいいのですが、そんなことは露程も知らず、模擬マルウェアファイルを開いてしまった人を教育することにばかりに着目して、業者選定などを進めてしまえば、形としては立派な訓練が実施できるかもしれませんが、それはきっと、訓練を実施したという事実だけが残るだけで、新人君の成長も含め、組織としてはさほど成長することのない結果で終わってしまうと思います。

標的型メール訓練のあるべき姿とは、標的型メールを始めとするサイバー攻撃が自社に仕掛けられた際に、組織としてどのように考え、どのように行動するか?を問うものであるべきで、模擬マルウェアファイルを開いてしまった人を教育するということは、その全体像の中の一つに組み込まれるべきものです。

標的型メール訓練とは、組織のあり方そのものを問う踏み絵のようなもの。と考えれば、色々なことを考えなければならないことに思いが至るはずです。

新人君に任せるのも良いことだと思いますが、任せるのであれば、標的型メール訓練のあるべき姿について考えることも含めて任せれば、新人君自身の大きな成長に繋がるはずです。

標的型メール訓練を実施する組織は増えているようですが、折角実施するのであれば、標的型メール訓練の位置づけについて、決して軽く考えたりせずに、会社全体でしっかり考えて頂きたいなと思います。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!