手が込みすぎてる・・・

年度末はどこも忙しいものですが、そんな中、某企業様の訓練実施のお手伝いをしています。

年度末に訓練なんかやると、各部門から「このクソ忙しい時になんでこんな事やるかな～」なんて声も聞こえてきそうですが、忙しくて余裕がない時こそ、訓練実施の好適期です。

何故なら、忙しくて余裕がない時ほど、ついひっかかってしまう確率が高くなるからです。考える余裕がなくなってくると、冷静な判断ができなくなるので、次々と誤った判断をしてしまい、却って被害を大きくしてしまう可能性があります。

余裕がない時ほど、訓練によって、慌てずに対応ができるようにする耐性をつけておけば、平常時であれば何の苦もなく対応ができるようになります。いわゆる、「あの時に比べれば・・・」ってやつですね。

で、某企業での訓練実施ですが、今回はショートカットリンク式で訓練を行うことになったのですが、上役の方から「これは手が込み過ぎてるなあ」とのコメントが。あまりにも本物っぽいので、「騙された！」と怒り出す人が何人もいるんじゃあないか？ってことらしいです。

本物っぽいというところでは、「標的型攻撃メール対応訓練実施キット」も、「ここまで本格的なものは要らないかも」と言われる（特に中小企業から）ことがあるのですが、訓練対象者が「騙された！」と悔しがるくらい本物に近いものであるほうが、やはり訓練の効果があると思います。

「見ると聞くでは大違い」という言葉があるように、標的型攻撃も、「これが攻撃メールだなんてわからなかった」というケースは多いものです。だからこそ、世界中で標的型攻撃による被害が発生しているわけで、そうであるからこそ、本物にできる限り近いものを体験しておくことで、「これが標的型攻撃なんだ～」と実際に感じてもらうことが必要だと思うのです。

訓練だから、そこまで手が込んでいなくても・・・。ではなく、訓練だからこそ、より本物に近い体験を・・・。

そして、それによってもし、組織内にハレーションが起きるのなら、逆にそれをきっかけに、組織間の風通しを良くし、全社一丸となってセキュリティ対策に取り組む環境作りを進めるきっかけとするくらいの前向きな姿勢であるべきなんじゃあないかと思うんです。

まあ、衝突が起きるのは誰しもイヤなものですけどね。雨降って地を固める！です。