標的型メール訓練を自前でやってはいけないの?
「標的型攻撃メール対応訓練実施キット」は、標的型メール訓練を自前で行うことを支援するための商品ですが、標的型メール訓練の実施に際しては、専門的な知識が求められるので、専門家に任せるべきだ。という意見があります。これは本当でしょうか?
ある意味では本当、しかし、全てが正しいわけではない
標的型メール訓練の実施は専門家に任せるべきだ。という意見の裏には、訓練の実施には高度な知識や専門性が要求され、生半可な知識で実施したのでは、業務に支障をきたしたり、システムに障害を発生させたりといった弊害が発生するため。という考えがあります。
実際に自分の手で訓練を実施されている方であれば、この考えの意味するところはよくご存じだと思います。
確かに、この指摘の通り、何も考えずにいたずらに実施したのでは、業務に支障が生じることもありえます。しかし、だからといって、訓練実施は専門家に任せるべきか?というと、それも正しい見解ではないと考えます。
訓練実施には専門的な知識が求められるから、専門家に任せるべきである。というのは、一見すると正しい意見のように思えますが、このような表現は、まさに「思考停止ワード」です。この表現を鵜呑みにして思考を停止させてしまってはいけません。
まず、「専門的な知識」とは何でしょうか?
そして、「業務やシステムに支障をきたす訓練」とはどのようなものでしょうか?
さらに、「専門家が持つ専門性」とは何でしょうか?
こうした事柄が具体的になっていないのに、専門知識が必要だから専門家にお願いしないと。と考えるのは、思考が停止している証拠です。
具体的に何ができないとどうなるのか?これがわかっていなければ、作業の費用が適正価格なのか、そうでないのかを見分けることもできません。
訓練実施に必要な専門知識とは何か?を知りましょう
訓練実施に必要な専門知識とは何でしょうか?その答えは、右隣にある「訓練実施の教科書」でご説明しています。
訓練を実施するに際しては、模擬マルウェアの作り方や、訓練メールの送信の仕方など、幾つかの専門知識が必要ですが、それは実際にやってみて覚えてしまえば、たいした知識ではありません。
本物のマルウェアを作るわけでも、また、マルウェアを発見・駆除するわけでもなく、また、実際にパソコンを乗っ取って遠隔操作をするというものでもないので、スゴイ知識が求められるというわけでもないのです。(もちろん、そういう訓練をしたいのなら話は別ですが)
何も知らない人が、周りに相談もせず、見よう見まねで勝手に訓練メールを作り、社内に発信したりすれば、当然、社内は混乱するでしょう。しかし、このようなことは、何も標的型メール訓練に限ったことではありません。どんな仕事でもチームワークを無視して行えばそうなるに決まっています。
初めて訓練を実施するなら、自分の周りの数人だけで試してみる、それでうまくいけば、今度は対象人数を増やしてやってみる、それが上手くいったら、システム担当者と相談しながら、少し大きな規模でやってみる。
このようにして、周りと相談しながら、チームワークで作業を進めていけば、業務が混乱するようなことも、また、システムに障害が起こるようなことも避けられるはずで、自前でも十分訓練は実施することができると考えます。実際、自前で訓練を行っている組織も少なくはないはずです。
このような検討過程の中で、専門家にお願いしないと難しいようなところがあると思えるなら、専門家にお願いすればいいと思います。
自分には何ができて、何ができないか明確なら、専門家にお願いすべきことも明確になり、請求される費用も適正かどうか判別がつくはずです。また、作業をお願いする専門家が適切な人であるのかどうかも見分けることができるでしょう。
専門の業者さんだから、専門知識を持っているはず。と考えるのは正しくありません。専門の業者といっても、担当者が何人もいれば、担当者によって知識レベルはまちまちですし、得手不得手もあります。専門家にお願いしたからといって、必ずしも成功が約束されるとは限らないのです。
依頼する側は業者の言うことを鵜呑みにして思考停止に陥ってしまうことのないよう、業者を見極める目と知識を養う努力を怠ってはいけないと思います。
→次の記事へ( 抜き打ちで渇!の標的型メール訓練を行うのは有りですか? )