標的型メールは見抜くことが難しい。は誤りです

自社内製で標的型メール訓練を実施すべき5つの理由

標的型メール訓練サービスを実施している会社のホームページを見ると、昨年度実績〇万人。といった数字が目に入ります。

こうした数字を見ると、標的型メール訓練の実施を業者に依頼している会社って多いんだなあ。と思うばかりですが、同時に、業者に何十万円、何百万円もの高い費用を払って、本当に効果が得られているのかなあ?とも思ってしまいます。

どうしてそう思うのか?というと、こうした訓練の実施を依頼する担当者自身が、標的型メールに関してはもちろん、セキュリティに関する基本的な知識を持ち合わせていない。ということが少なくないからです。

基本的なセキュリティ対策についての知識や理解が乏しい担当者が、自社にはわかる人がいないから。という理由で業者に訓練実施を依頼するのは自然な流れと言えば、自然な流れですが、わからないから業者に丸々頼ってしまうということは、自分達にはできないことを容認するという事であり、本来であれば、セキュリティ対策の担当者として知っているべき事柄を学ぶ事ができる機会を放棄する。という事でもあります。

標的型メール訓練を自分たちの手で実施すると、メールのセキュリティ対策の仕組みや、ウィルス対策システムの仕組みなど、セキュリティ対策担当者であれば必ず知っておくべき事柄を、嫌でも学ぶことになります。

何故なら、それを知らなければ、実際の攻撃者が送ってくるのと同じような標的型メールを、訓練メールとしてどうやって送ればよいのか?がわからないからです。

これはすなわち、攻撃者の立場に立って、実際に攻撃者として自社を攻撃するということであり、見かたを変えれば、攻撃者の視点で自社のセキュリティ対策を考えることができるようになる。という貴重な経験値を得る絶好の機会なのですが、標的型メール訓練の実施を業者に任せきりにしたのでは、こうした経験値を自社の社員が得る機会をみすみす手放してしまうことになります。

訓練の実施を委託する側の知識が乏しい状態で業者に作業を委託すれば、カタチ的には立派な訓練ができるかもしれませんが、委託する側に知識が無いので、業者が実施する訓練の内容について、その是非や良し悪しを判断することは難しく、結局、見た目にわかりやすい「開封率」の高低だけを見て、効果があったの、なかったのといった話をするしかない。ということになります。

開封率など、訓練のやり方次第で高くも低くもなるものなので、開封率の高低で訓練実施の結果を評価するなど、さして意味の無いことなのですが、委託する側に知識がないと、開封率の高低に一喜一憂し、同業他社と比べて自社は良いだの悪いだの。といった話を業者から聞いてありがたがる。といったことがまかり通ったりします。

十分な知識や経験を持っている組織が、費用対効果を考えて、あえて業者に作業実施面での協力を仰ぐ。ということは有りだと思うのですが、そうでない組織がやるべきことは、自身が攻撃者の視点に立って考えられるだけの知識を備えるよう、自分で手を動かし、汗を流して学ぶことだと思います。

いや、あんた、そう言うけど、そんな時間が無いから業者に任せるんだよ。という声も聞こえてきそうですが、業者は24時間365日、あなたの会社にぴったり張り付いて、あらゆる脅威からあなたの会社を守ってくれるわけではありません。

もちろん、それだけの十分なお金を払えば別ですが、ほとんどの会社はそんな潤沢な予算など持ち合わせてはいないでしょう。

ならば、自分達の身は自分達の手で守るしかなく、時間が無いのならば時間を作ればよいわけで、これは、自社の業務の効率化を推進する。という副産物を産み出すことにも繋がります。

「忙しくて時間が無い」というのはよく聞く言葉ですが、新年会や忘年会はやる時間があるのに、1時間もあればできる標的型メール訓練の実施準備を行う時間はない。というのはおかしな話ですよね。実際のところは、時間が無いんじゃなくて、やろうとしないだけ。やるための行動を起こさないだけ。だってことです。

セキュリティ対策というと、一見、本業とは無関係の仕事。と思われがちですが、本気で取り組むと、業務の効率化やチームマネジメント、リーダーシップ、人材育成などについても考えざるを得なくなり、こうした事柄は自社の経営力を高めることに繋がります。しかし、業者に全てを丸投げし、表面的な対策しか行わなければ、経営力の向上という嬉しい副産物を得ることは到底かなわないでしょう。

というわけで、以下の5つの理由から、標的型メール訓練は自社内製で実施するべき。と考えますが、あなたはどう思いますか?

【自社内製で標的型メール訓練を実施すべき5つの理由】

  1. 自分達の手で訓練実施の仕組みを構築することで、攻撃者がどのようにして標的型メールを送ってくるのか?を学ぶことができる。
  2. 自分達の手で訓練を実施すればコストはかからず、その費用を他の対策などに有効に使うことができる。
  3. コストの制約が無いので、何度でも繰り返して訓練が実施できる。
  4. 攻撃者視点の理解が深まることで、間違った訓練の実施を回避し、自社が今実施すべきセキュリティ対策について、適切な考えを巡らせることができるようになる。
  5. 何よりも、標的型メール訓練を実施するために必要となる作業自体が難しい事でも何でもない。
←前の記事へ(
→次の記事へ(
サブコンテンツ