現場を捉え、開封率を指標とする訓練からの脱却を図ろう!
標的型メール訓練というと、模擬の標的型メールに騙され、開いてしまった人が何割くらいいたのか?いわゆる「開封率」が、訓練実施の成否を判断する指標として使われます。
訓練実施に際しては、数値として見える化ができるものがこれくらいしかないないので、開封率が重要視されてしまいがちですが、従業員が100%、標的型メールに引っかからないようにする。ということはほぼ不可能だ。ということが、今ではほぼ常識となっていますので、開封率くらいしかデータが取れず、しかも、開封率がゼロにできないのなら、訓練なんてやっても意味が無いと考える、訓練否定派の方がいても不思議では無いと思います。
訓練実施の意義は、「いざという時に組織としてどう対応できるか?」に有り
標的型メール訓練実施の目的は、開封率を下げる事にあるのではなく、以下の2点こそ重要であると考えています。
1.組織全体のセキュリティリテラシーの水準を上げる。
2.万一の際には、誰もが適切な対処を行えるようにする。
1.は結果的に開封率を下げることに繋がりますが、大事なことは、2.に記載した通り、いざという時に、従業員の誰もが迅速且つ適切な対処が行えることにあります。
標的型メールはいつ何時送られてくるか分かりません。セキュリティに詳しい技術者や上長が社内にいる時にばかりやってくるとは限らないのは当然のことです。
経営判断ができる役職にいる上司が出張中に、情報漏洩が疑われる事故が発生したらどうするのか?また、セキュリティ担当者が居ない時に、ウィルス感染が疑われる事象が起きたらどうするのか?
こんな時に、どう対処したら良いのかわからず、ただ時間ばかりが過ぎていく状況になってしまうとしたら、みすみす、2次被害・3次被害を発生させることになってしまうかもしれません。
セキュリティ事故で怖いのは、目の前で起きている事象に適切に対処することができず、2次被害・3次被害を引き起こしてしまうことです。そして、2次被害・3次被害は、会社に大きな損害を与えることに繋がります。
時間の経過と共に被害は拡大していきますから、初動対応を迅速且つ適切に行えることが如何に重要かということに、異論を差し挟む方はいらっしゃらないでしょう。
標的型メール訓練をするなら、添付ファイルを開封した直後の対応を捉えよう
標的型メール訓練では、添付ファイルを開封してしまった人への対処として、後日にアンケートを取ったりする方法がありますが、後日のヒアリングでは、その時の状況を忘れてしまっていたり、思い込みで回答をしてしまったりすることがあります。
後日のアンケート実施では、必ずしも正確なデータが取れるとは限らないので、「迅速且つ適切な対応が取れているか?」ということを確認するという観点から言えば、添付ファイルが開封された時点で、
被験者がどのような対応をしたのか?
また、その時の現場の状況はどうだったのか?
といった情報を収集することは、とても貴重なことだと思います。
模擬とはいえ、標的型メールが送られてきているのに、現場では皆、無関心でいたとしたら、それはとても危険な状況だと言えるかもしれません。また、訓練メールを開いてしまった本人が慌てるばかりで、適切な行動がなかなか取られないでいる状況にあったとしたら、これも非常によろしくないと言えるかと思います。
こうした現場の状況を捉えることは、非常に重要なことであると考えれば、訓練を実施する際は、各現場において、被験者の状況を観察する担当者を配置し、訓練メールが届いた直後の状況をつぶさに観察するようにする、また、現場で適切な対処が取られないようなら、その場で指導を行う等の対応が取れるようにすると、より望ましいと言えるかと思います。
そうは言っても、訓練メールを開いているのかどうか?をどうやって捉えるのか?
各現場において、被験者の状況を観察する担当者を配置するといっても、各被験者が訓練メールを開いているかどうかを確認することは厄介です。
さすがに、一人一人のパソコン画面をのぞき込んで、訓練メールを開いているかどうかを確認するというわけにもいきません。
訓練メールを送信した時刻はわかるので、訓練メールが届いているであろう時間帯に、各被験者がどのような行動を取っているかを観察すれば、それなりの情報は得られるかと思いますが、具体的に誰が添付ファイルを開封したかを確認することはなかなか難しい話です。
開封者の特定を、Webサーバのアクセスログを使って行う方法の場合は、アクセスログをリアルタイムに監視して、技術者が担当者に逐一連絡するという方法は一つの方法として考えられますが、Webサーバに技術者を張り付かせないといけないので、少々面倒です。プログラムを開発すれば、これを自動化することもできなくもないですが、やはり厄介です。
しかし、標的型攻撃メール対応訓練実施キットを使うと、この課題を、メールでの連絡という方法で解決することができます。
手前味噌になってしまって恐縮ですが、標的型攻撃メール対応訓練実施キットでは、被験者が添付ファイルを開いたら、その場で開封者情報をメールで送る仕組みになっているので、アクセスログを解析する方法とは異なり、その場で誰が添付ファイルを開いたか?がわかるようになっています。この仕組みを活用し、現場を観察している担当者に開封者の情報が届くようにしておけばよい。というわけです。
現場を観察している担当者は、開封者情報のメールが届いたら、すぐに該当の被験者が今どのような行動を取っているか?また、周りはどのような対応をしているかを確認すれば、被験者が添付ファイルを開封した直後の、生の状況を捉えることができます。
これは、今後のセキュリティ教育の方針や、セキュリティ対策を考える上で、活きた情報となりうるものです。開封率も大切な指標ですが、開封率を見るだけでは、重要な点を見落としてしまいます。
今後、標的型メール訓練を実施されるのであれば、添付ファイルを開いてしまったその瞬間の現場を捉え、生の情報を得ることに、意識を向けてみてはいかがでしょうか?
きっと、貴重な情報が得られるはずです。
→次の記事へ( これだけは伝えたい!セキュリティリテラシーを向上させる上で大切にしたい事 )