その標的型メール訓練、テーマをきちんと設定していますか？

本サイトは「標的型メール訓練」をテーマにしたサイトゆえに、標的型メール訓練の具体的な実施方法に関するページの閲覧数はやはり多く、そうした事柄に関する問い合わせも多く頂くのですが、

そのような傾向の中でしばしば感じることは、

添付ファイルを開かせることが目的になっていないですか？

ということ。

お寄せ頂く質問や、閲覧されるページの中でも特に多いのは、

・「保護されたビュー」の警告が表示されないようにできないか？
・ウィルス対策ソフトによる警告が表示されるのを回避できないか？

という類のものなのですが、こうした疑問に対する回答を求める理由として多いのが、

警告が表示されたのでは誰も添付ファイルを開かなくなってしまうと思うんです。

というもの。

訓練をやる以上、誰も添付ファイルを開かなかったら意味ないじゃないか！と思う気持ち、これは訓練を実際に実施している人間のひとりとして、非常によくわかります。

訓練を実施する担当者であれば、誰もがこのような考え方に陥りやすいのでは？と思うのですが、「誰も添付ファイルを開かなかったら意味がない」と考えてしまう事は、実は間違っています。

何故、誰も添付ファイルを開かなかったら訓練として意味が無いと考えてしまうのか？

訓練実施担当者が添付ファイルを開かせようと躍起になってしまう理由、それは、

添付ファイルを開いてしまうような人はきちんと教育しなければ。という思いからだったり、誰も添付ファイルを開かない訓練なんて失敗だ！と叱責されてしまうという思いからだったりすると思うのですが、これらはいずれも、

添付ファイルを開いてしまうような人をあぶりだすことが訓練の目的である。

と考えてしまっていることにあります。

訓練実施の目的をそのように考えていると、添付ファイルを誰も開かなければ、あぶり出しに失敗したということになり、あぶり出しができないような訓練などやっても意味が無い。と考えてしまうことになります。

もちろん、標的型メールに関する知識に乏しく、安易に添付ファイルを開いてしまうような人には、基本的な事をきちんと教えてあげないといけないということはあります。

だから、添付ファイルを開いてしまうような人をあぶりだすことも、訓練実施の目的の一つではあります。しかし、それが全てではありません。

添付ファイルを開かないと判断するのは何故？を考えてみて下さい

「保護されたビュー」の警告が表示されたら、誰も添付ファイルを開かないと思うんです。

というのは、訓練実施を担当されている方からお寄せ頂くことの多い質問なのですが、ここでよく考えて頂きたいのが、「保護されたビュー」の警告が表示されたからといって、業務で受け取っているメールに添付されているファイルを開かないなんていうことがありますか？ということです。

例えば、代理店の担当者から送られてきたメールに添付されている発注書のExcelファイルを、「保護されたビュー」の警告が表示されたからといって開かずに捨てる。なんていうことがあるでしょうか？

他にも、似たような例を挙げればキリがないと思いますが、受け取ったメールを何ら不審だと感じず、安全なメールだと思い込んでしまえば、「保護されたビュー」の警告が表示されようとも、編集を有効にしてしまうということは日常的にあり得ることです。

そうしなければ業務として成り立たないからで、取引先からのメールを、

「保護されたビューの警告が表示されたので、怪しいと思って捨てちゃいました」

などと言う従業員がいたら、上司は間違いなく叱責するはずです。

標的型メールを送り付けてくるような犯罪者は、このような点を突いてくるのだということを考える必要があり、「保護されたビュー」の警告が表示されたら、誰も添付ファイルを開かないと思うという考え方そのものを改める必要がある。ということに、ここで気づいてもらえると思います。

誰も添付ファイルを開かない。という結果は、「保護されたビュー」の警告が表示されてしまうからではなく、訓練メールの作り自体が、添付ファイルを開かなくてもいいと思われてしまうようなものであるためで、「保護されたビュー」の警告が表示されてもなお、添付ファイルを開き、編集を有効にしてしまうような作りにすることこそ、本来、訓練実施担当者が考えるべきことなのです。

メール本文の怪しさを確認させるような訓練は間違い

訓練メールの内容を、「保護されたビュー」の警告が表示されてもなお、添付ファイルを開き、編集を有効にしてしまうよう、読み手を誘導するような作りにすると、メール本文は自ずと怪しいものではなくなります。

そうなると当然、メール本文を見て、怪しいかどうかを判断させるような訓練など不可能になります。

メール本文を見て怪しいかどうかを判断することができないので、自ずと、そのほかの部分を見て怪しいかどうかを判断しなければならない。ということになります。

標的型メール訓練のあるべき姿とは、まさにこのような姿であり、メール本文だけを見て怪しいかどうかを判断させるような訓練はそもそも間違いで、そのような訓練を幾ら繰り返したところで、訓練をやっているとは決して言えません。

もし、あなたの会社が、保護されたビューの警告が表示されたくらいで誰も添付ファイルを開かなくなってしまうような標的型メール訓練をやっているのだとしたら、「これはさすがに誰も開かないよね」ということを確認するための目的で実施しているケースを除けば、それは正しい訓練のあり方ではないと考えるべきです。

「保護されたビュー」の警告が何故表示されるのか？その理由をちゃんと説明できますか？

「保護されたビュー」の警告については誰もが知っていると思うのですが、それが何故表示されるのか？その理由についてきちんと説明できる人となると、ほとんどいなくなってしまうのが実状です。

実際、あなたはその理由について、きちんと説明ができるでしょうか？また、あなたの会社の中で、きちんと説明ができる人は何人くらいいるでしょうか？

その理由をきちんと理解していなければ、警告が表示されるのが鬱陶しいとして、警告が表示されないよう、パソコンの設定を変えてしまう人も出てきます。そして、そのような設定方法について解説しているサイトも、インターネット上を探せば幾らでも見つかります。

また、「保護されたビュー」の機能がリリースされてから既に何年も経過しているため、古い情報がネット上に残ったままとなっているケースも少なくなく、今ではもう正しくない情報を見て、理解した気になってしまっているという人も、もしかしたら居るかもしれません。

「保護されたビュー」の警告についての理解が乏しい、もしくは、間違った理解をしているために、会社のパソコンを危険な状態にしてしまう人がいるとしたら、会社としては困ったことになります。個人のパソコンならともかく、会社のパソコンをそのような状態にしてしまうことは決してあってはならないことです。

「保護されたビュー」の警告が何故表示されるのか？その理由を正しく理解してもらい、誰もがきちんと説明できるようになること。

このようなことも、訓練実施の目的の一つであり、セキュリティに強い組織を作るためにも、やるべきことであると思います。

あなたが考えている、もしくは、業者から提案されている標的型メール訓練は、添付ファイル開かせることが目的になっていたりしませんか？

もしそうなら、一度立ち止まって、組織としてどんな成長を果たせれば、訓練実施が有意義なものだったと思えるのか？ゴールとして目指すべきは何なのか？について、考えてみて頂けたらと思います。