抜き打ちでの訓練実施はOK？それともNG？

標的型攻撃メールの訓練実施に際して、抜き打ちでやるのがいいのか？それとも、会社全体に周知をした上でやるのがいいのか？は、訓練実施の担当者にしてみれば、誰もが悩む事だと思います。

経営者層からしてみれば、ウチの会社はどれくらいの率で標的型攻撃メールにひっかかってしまうのかは非常に気になるところなので、抜き打ちでやりたいと思う気持ちはよくわかります。また、周知した上で実施する場合は、最初から怪しいメールが来ることがわかっているので、誰もがメールを開かず、それだったらやる意味なんてないじゃない。というオチになってしまいがちです。

では、どちらがいいのか？というと、どちらのやり方も間違ってはいなくて、やり方さえ正しくすれば、目的に合わせてどちらも実施するのが良いのではないか。というのが私の考えです。

周知した上でやる方法が失敗するのは、周知してすぐに訓練メールを送付するからで、ユーザ教育をすることが目的であるなら、例えば「向こう3ヶ月の間のどこかで訓練メールを送付するので、皆さん気をつけるようにして下さい。」と周知すれば、ユーザの側も心の準備ができるので、抜き打ち的に行っても、クレームに繋がることを防ぐことができます。

もちろん、それでも文句を言ってくるユーザはいるのですが、その様な場合でも、こちらは事前に周知をしているという事実があるので、目的と主旨を改めてきちんと説明すれば、こちらに非はないので、相手は引き下がらざるを得ません。各組織長に「○月×日に訓練メールを送付するのでよろしく」と事前に伝えておき、各組織長を味方につけておけば、大体は丸く収められるものです。

また、周知した上ですぐに訓練メールを送付するのであれば、標的型攻撃メールが来たらどう対処するか？をシミュレーションする事を目的に訓練を実施すると良いと思います。これなら、万一、訓練実施中に本物が送られてきたとしても、実際に対処ができるので一石二鳥です。

抜き打ちでやるのはよくない。といった意見もありますが、訓練メールを送付したらユーザはどのように反応をするだろうか？また、訓練実施の目的に照らし合わせて、ユーザにどのような反応をして欲しいか？を考えれば、どのようにやるのが適切か？は自ずと見えてくると思います。