標的型メール訓練の効果を上げる方法
2015年に発生した、日本年金機構での情報漏えい事件以降、標的型攻撃メールに起因にした個人情報流出の事案が後を立たないことから、IPAが注意喚起として、
「注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を」
というページを公開しています。
このページの中に、「標的型攻撃メール訓練の目的と活用 ~効果を上げる方法~」というPDFファイルへのリンクがあり、以下4つのステップに分けて、訓練の目的、期待する効果が挙げられています。
Step1. 社員が攻撃メールの罠に引っ掛からなくする
Step2. 組織の感染可能性の芽を早期に摘む
Step3. 引っ掛かった社員を早期に発見し、初動対応をとる
Step4. 組織として、被害を低減、最終甚大被害を回避する
標的型メール訓練なんてやったことがない。という組織にとっては、これはこれで役に立つ内容ですが、この内容をもって「効果を上げる方法」と言われると、個人的には疑問を呈せざるを得ません。
しばしば間違えられる、目標と目的
例えば、「社員が攻撃メールの罠に引っ掛からなくする」というのは、それができれば確かに、被害回避能力の大幅向上が期待できるので、訓練実施の「目的」として掲げられることは多いと思います。
しかし、訓練を実施しても思うように効果が上がらない最大の原因は、
「従業員の側にやる気や興味がないこと」
なんですよね。
組織に所属する従業員全員が、標的型メール訓練に積極的であるとは限りません。中には、
「従業員に訓練なんてさせるくらいなら、システム側でどうにかしろよ。」
「ただでさえ、日常業務で忙しいんだから、余計なこと考えさせるなよ。」
と思う方も少なくありません。実際、ウィルスはプログラムなわけですから、システム側で検知して対策すればそれでいいじゃないか。それがシステムってもんだろう。と思う方がいても、それはそれで自然なことと思います。
「目的」と「目標」はしばしば間違えられることが多いのですが、
「何かをする」というのは目的ではなく「目標」です。
「目的」とは、漢字が示す通り、「目指すべき的」であり、
「何かをする」ことによって達成されるゴールです。
「従業員の側にやる気や興味がない」のは、そもそもゴールが設定されていない、もしくは、設定されているゴールに興味がないからです。
「社員が攻撃メールの罠に引っ掛からなくする」、だから訓練を実施する。と言われても、そんなことに興味がなければ、また、システム側でどうにかしてよ。と思っていれば、やる気なんて出るはずもなく、そんな状況で訓練を実施したところで、効果が上がるはずないのは自明の理でしょう。
「目的」とは、そうありたいと心から思えること
この記事を書いているのは夏直前の時期なので、夏らしい話として、富士山や北アルプスといった高山に登山に行く。という例を引き合いに出しますが、登山をする目的は、
「山頂に到達すること」
ではないはずです。富士山のような高山になると、高山に関する知識を勉強したり、高山に登るためのトレーニングをしなければ、事故につながることがありますが、こうした勉強やトレーニングを、山頂に登るために必要なことだからやりなさい。と言われても、そもそも山頂に登ることに興味がなければ、やろうという気にはならないでしょう。
人が山頂に登りたいと思い、行動に駆り立てるのは、山頂に登ることで雄大な景色を目にすることができ、一生の思い出になるくらい感動する。ということであったり、苦労して山頂に登ることで、自分にもそれができたという達成感を味わいたい。ということであったりするはずです。
山頂に登りたい。というのは、それ自体が目的なのではなく、山頂に登ることによって得られるものがあり、それを手に入れたいと心から強く思うことがあるからです。
だから、人は汗水たらし、わざわざ苦労して山に登ろうとするのです。
銀行の支店は、添付ファイルの開封率が低い
これは人から聞いた話ですが、標的型メール訓練を実施している、ある銀行では、支店における添付ファイルの開封率は非常に低いのだそうです。
それは何故か?
銀行の支店では融資の成績が何よりも重視されるため、各支店では地元の企業と密にコンタクトを取り、融資の成績確保に日々苦労を重ねています。外回りの行員は地元の企業の社長と密接に関わり、内勤の行員はそんな外回りの行員の苦労を日々目にしています。
そんな状況ですから、外回りの営業マンは、自分が関わっている企業の社長の顔を思い浮かべ、また、内勤の行員は外回りの行員の顔を思い浮かべて、自分のミスで迷惑をかけるようなことはあってはならない。と、常に強く思っているのだそうです。
だから、訓練を実施しても開封率は低い結果になる。ということなんですね。
組織として、被害を低減、最終甚大被害を回避できるようにする。ということではなく、
自分の目の前にいる人のことを想うがゆえに、
自分ができることをしなければならないと考える
ことが、結果的に組織として、被害を低減、最終甚大被害を回避できるような状況をもたらしている。ということなのですね。
訓練実施による効果を上げたい。と心から思うのなら、同僚のことを想い、自分にできることをしようと自ら行動する銀行の支店の例のように、
従業員が共感し、そうありたいと思えるような「目的」を設定し、
その目的に至るために「何をすべきか?」という「目標」を設定すること。
これこそが、標的型攻撃メール訓練の効果を上げる方法だと思います。
もし、あなたの組織で実施している標的型メール訓練について、やってもイマイチ効果がないんだよなあ。と感じているなら、「目的」と「目標」を間違えていないか?また、設定している「目的」は、各従業員が心から「そうありたい」と共感できるものであるのかどうか?について、一度考えてみてはいかがかと思います。
→次の記事へ( この3つの質問に回答できない組織は標的型メールの被害に遭う )