標的型メールかどうかを従業員に見分けさせるなんて、仕事の効率が損なわれるだけ。という主張への反論

標的型攻撃メール対応訓練実施キットの販売を開始してから早３年、キットの販売を始めた当初は、標的型メール訓練なんて、一部の企業くらいしか関心を持っていませんでしたが、今では多くの企業が訓練実施に取り組み、また、関心を示すようになってきました。

それに伴い、標的型メール訓練実施サービスを始める業者も増え、標的型メール訓練に関して様々な意見も見られるようになってきました。

訓練実施の是非については賛否両論ありますが、多くの方が関心を持ち、意見を交わすようになってきたことは、総論として見れば、好ましい事であると思います。

そんな中、受信したメールが標的型メールかどうかを、いちいち従業員に見分けさせるなんて、従業員にとっては面倒なだけであり、従業員の負担が増す分、仕事の効率が損なわれることになるので、従業員に標的型メールの見分け方を教える訓練なんて効果がないし、無駄である。という主張をされる方が少なからずいらっしゃいます。

今回は、そんな主張への反論を書いてみたいと思います。

「メールの見分け方」を教えても思ったほどの効果はない。という主張への反論

標的型メール訓練の実施に否定的な方の意見でまず多いのが、
「メールの見分け方」を教えたところで、大して効果はない。という意見です。

実際、メールの見分け方を教えても、標的型メールを開いてしまう人がいることから、そんなことを教えたって、見分けられないものは見分けられない。というのが、この意見の根拠になるのですが、そもそも、訓練で教えている「メールの見分け方」というものが、本当に適切なものなのかどうか？ということを考える必要があります。

標的型メールかどうかを見分ける方法というと、「怪しい日本語が使われていないかどうかを確認する」などということが言われたりしますが、標的型メールかどうかを見分ける上で真に見るべきポイントは、メールの本文ではありません。（メールのヘッダ情報を毎回確認せよといった話でもありません）

メールの本文は真に見るべきポイントではないのに、メールの本文を見て、標的型メールかどうかを判断させるような見分け方を教えているとしたら、それは、正しい見分け方を教えているとは言えないのです。

間違った見分け方を教えているような訓練では、思ったような効果が得られないのは当たり前のことというのは、誰でも容易に想像がつくことです。

にもかかわらず、そのような訓練の結果を元にして効果の是非を考えてしまうために、「メールの見分け方」を教えたところで、大して効果はない。だから、訓練なんて実施したところで意味がない。という結論に至ってしまうのですが、考察の前提としているものがそもそも間違っているのですから、これでは正しい結論が得られるはずがありません。

「メールの見分け方」を教えたところで、大して効果はない。という意見は、間違った訓練を実施していることに対する指摘としては正しいと思いますが、訓練の実施自体を否定する意見としては正しいものとは言えないと思います。

メールをいちいちチェックさせるなんて負担になるだけ。という主張への反論

受信したメールが標的型メールでないかどうか、従業員にいちいちチェックさせるなんて、従業員にとって負担になるだけ。という意見があります。

メールを受け取るたびに、変な日本語が使われていないかどうか、差出人は正しいかどうか、フリーメールアドレスが使われていないかどうか、などなどをいちいちチェックさせるなんて面倒極まりない。そんなことを全てのメールに対してやっていたら日が暮れてしまう。という主張は、一見正しい意見のようにも見えますが、これも、メールの本文を見て、標的型メールかどうかを見分けさせる。という、間違った見分け方を教えているケースを前提に考えてしまった例であると言えるかと思います。

また、いちいちチェックさせるなんて面倒という話も、もっともな話のように聞こえますが、実際にどれくらいの負担になるのか？を定量的に測った上での主張ではなく、単純に感覚でモノを言っているだけに過ぎない話です。

これが、従業員にチェックリストを用意させ、全てのメールに対して、チェックを行ったかどうかをチェックリストに記載せよ。という業務を従業員に強いる。という話ならば、確かに負担になるだけ。という主張は納得できますが、そんな業務を強いることが馬鹿げていることは考えるまでもないことなので、このような話を前提に考えることは論外です。

標的型メールかどうかを見分けさせることが、従業員にとって本当に負担でしかないものなのか？ここは憶測で考えるのではなく、正しい前提と、定量的なデータを元に考えを巡らせるべきでしょう。

ちなみに、自動車を運転するには、沢山の法規や標識を覚え、運転中も、左右を確認したり、信号を見たりと、幾つもの確認や判断を繰り返さないといけませんが、それを負担極まりないと思う人はどれだけいるでしょうか？

もちろん、中にはそう感じる方もいるかもしれませんが、全体から見ればごく少数でしょう。大抵の人は、慣れてしまえば負担になど思わない。そういうものです。

実際、セキュリティに関する知識を十分に持った方で、「届いたメールが標的型メールかどうかをいちいち確認するなんて面倒でしゃあない。そんな確認なんてやってられないから、標的型メールを開いちまったってしょうがねーよ」と仰る方には出会ったことがありません。本当に業務に支障をきたすほどに面倒なものであるなら、標的型メールをバンバン開いてしまう専門家が居ても不思議ではないはずです。

しかし、標的型メールを開いてしまうような専門家が居ないのは、業務に支障が出るようなこともなく、標的型メールかどうかを見分けることができているからにほかなりません。

今こそ、本当に正しい「メールの見分け方」を教えているのか？を考えるべきです。

標的型メールの見分け方について書かれているサイトは多く見かけますが、それらの中には、どこかの受け売りをそのまま記載しているようなものも多い。という感じがします。

訓練を実施している組織においても、従業員に対する教育は、どこかの受け売りをそのまま提示しているだけ。というケースもあるでしょう。

自分は専門家ではないから、専門家が提示しているものをそのまま従業員に提示する。というのはわからなくもありませんが、どうしてそうなのか？を考えもせず、自分の中で租借もせずに、単純に右から左へ流すだけ。だったとしたら、それはどうかと思います。

理由も背景も考えず、専門家がそう言っているから。と、何も考えずに、伝言ゲームのようにただ伝えていくだけ。これでは真の理解は得られませんし、間違った理解を元に間違った解釈が生まれ、間違った行動に繋がっていってしまう。ということもあるでしょう。

現在、「標的型メールの見分け方」として流通している「日本語の言い回しが不自然」などの情報は、ひと昔前の、古い見分け方の一例に過ぎないのですが、そのことにあなたは気付いていらっしゃるでしょうか？

こうしたことは、理由や背景を理解していればすぐにわかることですが、もしあなたが、そんなこと知らなかった。と思われたのでしたら、自分が教えられた、また、自分が教えている標的型メールの見分け方というのは、本当に今の時代に合った、正しいものと言えるのかどうか？この機会に、ぜひ考えてみて下さい。

もし、間違った情報を伝えていた、情報として欠けている部分があった。と思われたなら、是非、改善を図るアクションへと繋げていって頂きたいと思います。