訓練実施をリスクマネジメントの視点で考えよう

「標的型攻撃メール」に対応するための訓練は「セキュリティ対策」の一環として行われるものですが、同時に、リスクマネジメント施策の一環として行われるものでもあります。

リスクマネジメントと言えば、

１．リスクが現実にならないよう、リスクを回避するための策を考え、実行する。
２．リスクが現実となってしまった時にどうするか？を予め考え、備えておく。

ということであるので、マルウェアをうかつに開いたりしないよう、従業員に対するセキュリティ教育を行うのは前者であり、万一、マルウェアを開いてしまったらどうするか？を考え、考えたことが実際に実行できるようシミュレーションするのが後者になります。

訓練実施というと、とかく前者が強調されがちですが、どれだけ訓練を実施しても、全従業員が「標的型攻撃メール」にひっかからないようにすることは実際には難しいことが、これまでの経験によってわかっていますので、訓練を実施するに際しては、どちらか一方が片手落ちとならないよう、前者と後者をバランス良くマネジメントすることが必要ということになります。

１回の訓練で全ての目的を達成するのはなかなか難しいので、ケースを分けて実施するようにするなどの工夫はどうしても必要になってきます。こうした時に、常に寄り添って対応してくれるベンダーがそばに居れば良いですが、予算に余裕がないとそれもなかなか難しいと思いますので、やはり、自社のスタッフだけで訓練を実施できるようにするのが、小回りも利いてベストです。

目先のコストや手間を削減することに囚われていると、ベンダーの優劣を比較することに目が行ってしまいがちですが、新しいことにチャレンジしたり、次の一手を打つための余裕を生み出すために、コストや手間を削減する。という事を考えると、また違った視点でモノゴトが見えてくるはずです。