標的型メール訓練は根性論？

普通の人が標的型メールを見分けるのは難しい。（実際にはそんなこともないのですが・・・）ということから、従業員に標的型メールを見分けさせる練習をさせる「標的型メール訓練」は所詮、根性論でしかなく、あんなものをするなんて馬鹿げている。といった話があります。

確かに、標的型メールによる被害に遭わないようにするため、毎日送られてくるメールを従業員が一生懸命に見分けている姿を想像すると、まさに根性論であるようにも思えますが、そもそもの話として、

従業員の目だけで標的型メールを100%を防ごう。なんていうこと自体が馬鹿げています。

経営者が出費をケチってウィルス対策ソフトも何も導入せず、従業員の力だけでサイバー攻撃から自社を守れ！なんてハッパをかける会社が有ったとしたら、それはもうブラックな会社でしょう。

普通に危機意識がある会社であれば、ウィルス対策ソフトやUTMなどのセキュリティ対策製品を何かしら導入しているはずです。しかし、これらの製品があれば100%被害を防げるか？というと、そうではないことはもはや周知の事実です。

だからこそ、折れやすい矢も束ねれば強くなる。という考えに基づき、いろいろな製品を組み合わせて対策をすることが一般的。となっているわけです。

にもかかわらず、標的型メール訓練に限っては、根性論だから止めるべきだ。というのは、おかしくないでしょうか？

セキュリティ対策ソフトウェアや、セキュリティ対策製品が、それ単独では被害を100%防ぐことができない。というのは、標的型メール訓練をやったところで、被害を100%防ぐことはできない。というのと同じことです。

被害を100%防ぐことができない標的型メール訓練をやることは無駄なことだ。と言うのであれば、被害を100%防ぐことができないセキュリティ対策製品を導入することも無駄なことであるはずですが、実際にはそんなことはなく、全く何も無いよりはあった方が安心、組み合わせれば被害に遭う可能性をかなり減らせる。という考えから、製品の選定・導入をしているのが実際のところであると思います。

であれば、標的型メール訓練を実施し、従業員に標的型メールについての理解を深めてもらう事で、セキュリティ対策製品が防御しきれずにすり抜けてしまったものを人の力で防ぐことができたら、それはハッピーな事であるはずです。

従業員の目だけで標的型メールを100%防げ！なんていうのは、確かに根性論かもしれませんが、セキュリティ対策製品による防御と組み合わせ、人と機械の両方によって、お互いの弱い面をカバーし、被害に遭う可能性をできる限り減らすようにする。というのが、セキュリティ対策の現実解でしょう。

にもかかわらず、標的型メール訓練は根性論だからやるべきでない。と判断し、従業員に何も教えない、トレーニングもしない。としたらどうなるでしょうか？

人と機械の両方で脅威を防ごうとする組織と、機械の力だけで脅威を防ごうとする組織、どちらが強い組織と言えるか？は考えるまでもなく、明らかだと思います。

それでも、標的型メール訓練をやることは馬鹿げている。と言えるでしょうか？