標的型メール訓練で成果を上げたいなら”○”ではなく”○”を使う
標的型メール訓練に限らず、セキュリティ教育を幾らやっても、セキュリティ事故は一向に無くならない。
標的型メール訓練に限って言えば、訓練を何度実施したところで、不審なメールを開いてしまう人は一向にゼロにならず、訓練なんてやっても意味がないとさえ思えてしまう。
どれだけ時間とコストをかけて社員教育をしても、早くて2週間、長くても3ヶ月くらいすると、社員教育をする前と変わらないのでは?と思えるほどに、その効果も薄れてしまう。そんな経験を繰り返していると、セキュリティ教育なんてやったって無駄。という結論に行き着いた。という方もいらっしゃるかもしれません。
また、内心では、セキュリティ教育をやったところで何にもならない。とは思っているが、世間の目があるのでやらないわけにもいかず、業者に委託してそれなりの教育は行っている。というところもあるかもしれません。
ここであなたに一つ質問をします。
「御社の従業員にパンの焼き方をレクチャーしたら、あなたの会社では次の日からおいしいパンを売る店を開けますか?」
・・・・・・・・・・・・・
・・・・・・・・・・・・・
・・・・・・・・・・・・・
こんな質問に対しあなたは、
「何バカな事を言ってるんだ。店を開いて売れるほどのおいしいパンなんて、そう簡単に作れるようになるわけないじゃないか」
と思うかもしれません。そう、そのとおりです。よほど才能がある人でない限りは、1日レクチャーしてもらったくらいで、売れるほどにおいしいパンなんて焼けるようになりはしません。
でも、セキュリティ教育についていえば、これと同じことを多くの会社がやっています。
売れるほどにおいしいパンを焼けるようになりたかったら、作り方を習うだけでなく、実際に自分でパンを焼くということをやってみて、さらに試行錯誤しながら、どうやったらおいしいパンを焼けるようになるのか、頭と体を使って覚えていくはずです。
でも、セキュリティ教育について言えば、講師を招いて講義を聞かせる、もしくは、eラーニング教材を使って自主学習してもらう、標的型メール訓練で言えば、外注に委託して訓練メールを送ってもらい、不審なメールに気を付けるようにと注意喚起する。というように、従業員の頭を使わせているだけ。
パンの焼き方を教わったところで、おいしいパンなんて作れるようになるわけない。と言いながら、セキュリティ教育をいくらやっても効果が無いと嘆く。これっておかしくないですか?
おいしいパンを焼けるようになりたいと思うなら、実際に自分の手でやってみるという事をやらなければダメだ。と言うのなら、セキュリティ教育だって同じことです。
頭だけではなく、実際に自分の体を使って学ぶことをしなければ、本当の意味で身に着きなどしないものです。
あなたが会社のセキュリティ担当者であるなら、SPF(Sender Policy Framework)を知らないという事はないと思います。
でも、実際には、会社のセキュリティ対策を担当していながら、SPFを知らないという方は少なからずいらっしゃいます。セキュリティ対策は業者に任せている。という会社ほど、そういったケースは多いようです。
セキュリティなんて自分には専門外、それ故に、業者にお金を払って任せているのだから、SPFなんて専門的な話は業者がわかっていればいい話だ。と言う方もきっといらっしゃることでしょう。
しかし、委託先である業者は十分な専門知識を持っていて、自社にとって最善の対応策を常に提案してくれる。なんて、本当に言えるのでしょうか?
自分自身は十分なセキュリティ知識を持ち合わせていないのに、その業者が十分な専門知識を持っているなんて、どうして判断できるのでしょうか?
また、業者は常に最善の対応策を提案してくれているなんて、何を以ってそう判断しているのでしょうか?
例外はあるかもしれませんが、業者も所詮商売なので、手間がかかるばかりで売り上げに繋がらないようなことは提案なんてしたりしません。逆に、売り上げに繋がると踏めば、本来は不要なものすら提案するかもしれません。
業者は自らを犠牲にしてまであなたの会社を守ってくれる。なんていうことはありません。自分の会社は自分の手で守るしかないのです。
おいしいパンを焼かないまでも、おいしいパンの焼き方を知っていれば、本当においしいパンを焼くことのできる一流の職人を選ぶことができます。まさに、本物は本物を知る。です。でも、おいしいパンの焼き方を知らなければ、なんとなくおいしいパンしか焼けない二流のパン職人ですら、優秀なパン職人だと思って採用してしまうかもしれません。
セキュリティ対策も同じこと。業者に委託をするのなら、真に選ぶべき業者を選ぶことができるだけの選択眼、つまり、セキュリティに関する知識を、委託する側はしっかり身に着けるべきです。
例えば、メールのセキュリティ対策を考えるのなら、自分自身でメールサーバを構築するくらいのことは、実際に体を使ってやってみるべきです。何も、実際の業務で使うものを構築する必要などありません。大切なのは、実際に体を動かして学ぶ機会を持つ。ということです。
標的型攻撃メール対応訓練実施キットを使うと、模擬のマルウェアを作ることから始まって、実際に模擬の標的型メールを送るということまでを自分たちの手で実施することができます。
つまり、実際の犯罪者がやるのと同じことを自分たちの手でできるということです。これはつまり、犯罪者側の視点に立てるということです。
しかし、知識が十分でないと、例えば、どうやってなりすましメールを送ればいいのだろう?といったことで躓いてしまったりします。それ故に、自分には無理とあきらめ、業者に委託する方もいらっしゃるわけですが、果たして本当にそれで良いのでしょうか?
なりすましメールの送り方がわからなければ、なりすましメールを防ぐための対策なんて考えられるわけがありません。
業者に対策を依頼したとしても、業者が提示してくる対策の良し悪しも判断のしようがありません。なにせ、依頼する側にそれを判断するだけの知識が備わっていないのですから。
業者にお金を払えば訓練は幾らでも実施してもらえますが、それは同時に、あなたの会社が体を使って学べる機会を、わざわざお金を払って放棄している。ということでもあります。
あなたの会社の社員が、実際に体を使って犯罪者の視点に立ち、犯罪者が繰り出してくる手口を自らの手で再現する機会を持つことは、様々な知識、体験、気づきをもたらしてくれることになります。
このような経験を得た従業員は、犯罪者の繰り出してくる手口に騙されることのないよう、自ら考え、自ら行動し、自ら防ぐ手立てを実行するようになるものです。
しかし、業者が送ってくる訓練メールを、お客様気分で受け取るだけで、従業員が自らそのような行動をとるようになるでしょうか?
もちろん、ほとんど知識を持たない人が自前で訓練を実施しようとすれば、最初のうちはとまどってしまうかもしれません、また、人によっては、時間もかかるかもしれません。
でも、それは必要な知識や経験が身に着いていないからこそのことであり、そこを「面倒だから」とか「時間が無いから」といった理由で先送りにしていたら、あなたの会社はいつまでたっても、成長しない会社のままです。
セキュリティ教育のあるべき姿は、自ら考え、自らの手で自分を守ることができる従業員を育てる事です。
標的型メール訓練で成果を上げたいなら、”頭”ではなく、”体”を使うこと、つまり、従業員自身の手で、実際に犯罪者視点に立って、模擬の標的型メールを送るということをやってみるべきなのです。
ちなみに、標的型攻撃メール対応訓練実施キットがあれば、1時間もあれば、実際に犯罪者視点に立って、模擬の標的型メールを送るということをやってみることができます。幾ら忙しいあなたでも、昼ご飯片手にやってみることができるなら、やってみてもいいかも。と思えるのではないでしょうか?
→次の記事へ( PowerPointの仕組みを利用した、新たなマルウェア実行の手口 )
