こんな訓練実施代行業者にご注意を

日本年金機構の一件や、ランサムウェアの台頭によって、標的型メール訓練サービスを提供する会社がだいぶ増えました。

弊社宛にも、キットを使って訓練実施代行サービスをしたいというお問い合わせを頂く機会は多いので、弊社自身、訓練実施代行業者を増やすことに加担している。とも言えるわけですが、結論から先にお話ししておくと、たいして知識も持っていないのに、単にできる。というだけでサービスを提供している業者も多いなあ・・・と感じています。

もちろん、しっかりした技術・知識・ノウハウを持ってサービスを展開している業者さんもいますが、お客様にしっかりと価値を提供できている業者さんは果たしてどれほどいるでしょうか。

こんな事を書くと業界を敵に回しそうですが、訓練実施に真摯に取り組み、お客様に価値を提供することに腐心されている業者さんなら、きっとわかってもらえる話だと思います。

標的型メール訓練自体がメジャーになり、訓練実施の価値に気づいてくれる組織が増えてくれれば、それはとても望ましい事であるので、訓練実施代行業者が増えること自体はとても良い事なのですが、粗製乱造というか、単に儲かりそうだから。というだけの理由でサービスを始める業者が増え、たいして意味のない訓練が乱発された結果、

標的型メール訓練？あんなの意味ないよ。

という認識が蔓延して、一過性のはやり事として終わってしまう。としたら、訓練実施を推奨する者としては非常に残念に思います。

もし、あなたが、訓練実施を業者に委託しようと考えているのなら、この内容を読んでもらって、変な業者にお金を奪われないようにしてもらえたら嬉しいです。

開封率の話しかしない
訓練実施の結果レポートと言えば、訓練メールを送付した結果、誰が何時何分に訓練メールを開封して、組織全体の開封率は何パーセントで、1回目と2回目ではそれぞれ何パーセントでしたから、今回の訓練は〇〇でした。っていうような内容を、なんかそれっぽい報告書にして、それっぽく説明する。そんな業者さんも少なくないんじゃないかと思いますが、そんなもの正直、

だから・・・、何？　って話です。

1回目と2回目でそれぞれ開封率が何パーセントって、それって何の意味があるんでしょうか？

だいたい、1回目と2回目で同じ訓練メールを送っていたら、開封率が下がるなんて当たり前です。だって、訓練を受ける方は、1回目のメールを受け取った時点でそれが訓練だってわかるわけですから。

2回とも騙される人もいるかもしれませんが、そういう人が少ないのは当然のことです。

もちろん、1回目と2回目で異なる内容の訓練メールを送付するやり方もあるでしょうが、内容が違うのに、1回目と2回目の開封率を単純比較して、2回目は開封率が低かったから、訓練を実施した効果がありましたね。などと言っていたら、何でそう言えるのよ。とツッコミたくなります。（笑）

訓練実施のゴールを設定していない
標的型メール訓練を、単に、標的型メールを疑似的に体験してもらうもの。と考えていると、訓練メールを送って開封率を算出してそれでオシマイ。ってなるわけですが、それだけのために何十万円～何百万円もの費用を支払うなんていうのは、あまりにも勿体なさすぎます。

折角訓練を実施するのであれば、その訓練を実施することによって、社員にどんな知識や経験値を身につけてもらいたいのか？短期的なゴールと、長期的なゴールをきちんと定め、そのゴールに向かって、具体的にどのよう訓練を実施するのか？をきちんと組み立てて実施すべきです。

あらかじめゴールがきちんと定められていれば、訓練メールの内容も、自ずとそれを意識した内容になるでしょうし、結果の考察も、それを意識した内容となるはずです。

そうしたプロセスもなく、あらかじめ決まった文面の中から訓練メールの内容を選び、決めた日時に訓練を実施するだけ。では、単に訓練を「やっただけ」になり、結果の考察も開封率が何パーセントで、業界平均と比べて高かった・低かった。なんて話にしかならないのは当然のことです。

セキュリティ対策について一家言を持っている業者を選ぼう
訓練実施代行サービスを提供する業者は多いので、何社もの業者から毎日のように売り込みがあってウンザリ。という方も少なくないと思います。

中には、きちんとした価値を提供してくれる業者さんもいると思いますが、変な業者に引っかからないようにするには、セキュリティ対策について一家言を持っている業者を選ぶべきです。攻撃と防御の両方の視点から、受け売りではない、自社なりの持論を展開し、お客様の状況を理解した上で、今何をすべきか？を提示してくれるところの方がいいですね。

厳しい言い方をすれば、業者自体がセキュリティのことについてわかっていないのに、どうして訓練実施がセキュリティ対策として効果がある。なんて言えるんですか？って話です。

あと、意外に思われるかもしれませんが、自社では訓練なんてやっていない。という業者も少なくないので要注意です。

紺屋の白袴ではないですが、自社でやっていないのに、他社に訓練実施を勧めるなんてどうなのよ？と思うのですが、そういう業者に引っかからないようにするには、「御社内では、何を目的にどのような訓練を実施し、どんな結果が得られたのか、また、次回はどんな訓練を実施しようと考えているのか、具体的に教えてもらえますか？」って聞いてみると良いでしょう。

要は、御社内では当然PDCAサイクルを回せているんですよね？って話なんですが、このような質問にきちんと答えることができないような業者は、まあ、選ばないほうが賢明でしょうね。

P.S.
変な業者に引っかからないようにするには、標的型メール訓練が具体的にどのようなものであるか？を知っておくことはとても重要なことです。自前でやるにしても、業者に委託するにしても、「標的型攻撃メール対応訓練実施キット」は、標的型メール訓練についてあなたが理解する一助になるはずです。

どの業者も似たり寄ったり、ここなら！という業者がいないのなら、自前での訓練実施を検討してみてはいかがでしょうか？