間違いだらけの標的型メール訓練、こんな訓練はしてはいけない!
よくある、間違いだらけのナントカ。今回はそんなタイトルを真似てみましたが、過去に間違ったやり方で訓練を実施したり、また、間違った訓練の事例を見られて、標的型メール訓練なんて、やってもしょうがないんじゃないの?とか、本当にやった方がいいのかなあ?と懐疑的に思っていらっしゃる方は結構いらっしゃるかもしれません。
もしあなたがそう思っていらっしゃるなら、是非、この記事を読んでいただきたいと思います。
開かれないメールを送る訓練に何の意味があるの?という思い違い
標的型メール訓練に関してたまに耳にする指摘に、「模擬のメールなんて送ったところで誰も開いたりしない。誰も開かないんじゃ訓練として成立しないんだから、やってもしょうがないでしょ。」というような主旨の指摘があります。
確かに、誰もがメールを無視して開いてくれないのでは、折角訓練を実施しても空振りで、何の結果も得られず、全てが無駄になってしまうという絵が思い浮かびます。
非常にもっともな指摘であるように聞こえるので、このような話を聞くと、やっぱり訓練なんてやってもしょうが無いんだ。と思ってしまいがちですが、このような指摘については、以下の観点がすっぽり抜け落ちてしまっています。
- メールが開かれない理由を掘り下げて考えていない。
- メールが開かれなければ訓練として成立しないというのは思い込みでしかない
訓練メールなんて誰も開かない。というのは単なる思い込みに過ぎません。たどたどしい日本語で書かれた文面なら開かないかもしれませんが、そうでない文面となれば、話も違ってきます。
開くにしても、開かないにしても、人が行動を起こす裏には必ず理由があります。その行動を科学することこそ、有効な対策を見つけ出し、防御力を強化することに繋がります。標的型メールイコール、怪しい文書のメールなどといった固定観念を持ってはいけません。
標的型メール訓練は、模擬の標的型メールが開かれる事で初めて成立するというものではありません。標的型メールが送られてきたら、どのように対処するのか?ということ自体も、訓練実施の目的の一つとなり得るものです。
また、標的型メールを目にして、各従業員がどのような反応をするのか?を確認することも、組織のセキュリティ意識レベルを把握するには貴重な情報となり得るものです。
開くにせよ開かないにせよ、訓練実施が無駄になるかどうかは、目的の据え方次第であり、また、訓練実施をどのように計画するか次第で決まってくるものです。この点を考えずして、訓練の成否を語るのは間違いです。
開封率で訓練の成否を考えることの間違い
「開封率」は標的型メール訓練を実施する上で欠かせない指標ですが、誰にでもわかりやすいデータであるがために、開封率という言葉だけが一人歩きしてしまっているような感があります。
従業員研修実施前と後で開封率を測定し、研修後は開封率が下がったので研修の効果がありました。というシナリオはとてもわかりやすいですが、これが例えば、全く同じ内容の模擬メールを送付して測定した結果であるなら、開封率が下がるのは当たり前の結果で、これをもって研修の効果があったとするのは少々乱暴な話であるのは、誰の目にも明らかでしょう。
このように、開封率は訓練実施の前提によって結果が大きく変わるデータであるにもかかわらず、開封率の高低で訓練の成否を判断するというのは、全くもってナンセンスな話です。
ましてや、開封率が低い方が優れているなどという評価など持ち込もうものなら、訓練が終わるまではファイルはメールでやりとりするな。などといった回避策が現場で取られるなどして、本末転倒な事が起きたりします。
このようなことが起きる訓練は、もはや実施計画の立案時点から間違えていると言わざるを得ません。
添付ファイルを開かなければそれで良しと考えることの間違い
訓練は標的型メールの被害に遭わないようにすることを目的とするがために、いきおい、添付ファイルさえ開かなければいいんでしょ。といった話になりがちですが、それはあくまで結果であって、本質ではありません。
添付ファイルを開かないことが良いことなのではなくて、開いてはいけないファイルであると的確に判断できるからこそ、開かないという結果になるわけで、添付ファイルさえ開かなければいいというのなら、正常なファイルも含めて、全ての添付ファイルを開くべきでないということになり、これでは業務に支障が出るであろう事は容易に想像が付きます。
この本質を正しく捉え、本当の意味で従業員に正しい理解を伝えようとしたら、添付ファイルを開いてしまったかどうかを測定するだけの訓練は、折角の機会を活かし切れていないということになります。
単純だけれど、実は奥が深い標的型メール訓練
標的型メール訓練は、実施する内容こそ、模擬の標的型メールを作成して従業員に配布する。という単純なものですが、目的や実施内容によって、得られる結果や効果は様々なものになります。
また、実際の標的型攻撃は単純なものではなく、様々な手口が組み合わされて行われることも考慮すれば、標的型メール訓練は総合的な演習の中の一つとして実施する形態も考えられます。
このようにして考えていくと、標的型メール訓練は実は奥が深いものであり、開封率を測定するだけの標的型メール訓練をもって、訓練実施の是非を考えることは、間違っていると言えます。
どうでしょうか?以上の事柄を読まれて、思い当たるような事柄はあったでしょうか?
上記のような観点を持って、自前で訓練実施に望むことは、あなた自身も含めて、きっと大きな成長に繋がるものと思いますが、訓練実施を自前で行うのではなく、あえて業者に委託する道を選択されるのでしたら、上記のような観点で業者の選定をされると良いと思います。
たとえ辛口でも、腑に落ちる指摘をしてくれる業者なら、安心して任せることができるのではないでしょうか。
→次の記事へ( すがわら文仁議員から学ぶ、継続することプラスアルファの大切さ )