訓練は小さく始めて大きく展開する。自前だからこそできること
従業員に実際に標的型メールを体験してもらい、幾つもの気付きを得てもらう「標的型メール訓練」の実施に興味を持ったとしても、実際にやったことがなければ、どのような効果が得られるのか見当もつかないものです。
確実に効果が得られるかどうかもわからない状況では、全社を対象に訓練を実施しましょうと提案しても、意味があるかどうかもわからないことにはゴーサインが出にくいのも当然のことでしょう。
ましてやそれが、1回の実施に何十万円~何百万円もの費用が請求される「標的型メール訓練実施サービス」を利用しての訓練実施であれば尚更のことです。
だからこそ、自前で小さく始めることがうってつけなのです
「標的型メール訓練実施サービス」を利用しての訓練の実施では、業者の営業経費などを考えれば、ちょっと試しに。といった小さな規模での実施を、安い費用で請け負ってくれることなど到底ありえません。業者に実施を委託する場合は、全社を対象に実施することがほぼ前提になってしまいます。
しかし、自前でやるなら、自分の周りだけを対象に、ちょっと試しに訓練もどきのことをしてみる。といったことができます。
上司や役員の方々が演習の実施に懐疑的であったとしても、実際に試しにやってみて得た結果を元に話をすれば、説得力はグンと向上します。
しかも、自前でやるなら、失敗があっても損をすることはありません。何十万円~何百万円もの費用をドブに捨てるような結果になってしまうことはないのですから、思い切ったチャレンジができます。
何か新しいことを始めようとすれば、周りの抵抗に遭うのは世の常です。だからこそ、抵抗されにくい小さなチャレンジから始め、結果を積み重ねて徐々に大きくしていく。
このようなことは、自前だからこそできる大きなメリットです。
自分でやるからこそ、得られる気づきがあります
業者に作業を委託すれば楽ですが、作業を丸投げすることと、あえて作業を委託することは、天と地ほどもの違いがあります。
作業委託が失敗するケースの多くは、自分にはわからないからと、作業を丸投げしてしまうこと。にあります。これでは、自社にノウハウがたまらないばかりか、業者の言いなりになってしまって、良い結果を得ることなどできません。
さらい悪い事には、業者を選定する眼力が無いばかりに、大して知識も経験も持っていない業者を選んでしまい、訓練実施時に本物の標的型メールと間違われて思わぬトラブルを招くことになった。などという事例も発生しています。
そもそも、自分にはわからないからと丸投げするケースでは、とにかく専門家に任せりゃどうにかなるでしょ。的な発想で丸投げすることがありがちで、目的も何も曖昧だったりすることがあります。たとえて言えば、レストランに入って「とにかく旨い料理出してよ」と言うようなものです。
肉料理が食べたいのか、魚料理が食べたいのかもわからない状態で「旨い料理出してよ」と言われても、さすがにレストラン側も、お客さんが確実に満足できる料理を出せるはずがありません。おいしい料理を食べたいのなら、プロがその力を発揮できるよう、自分が何を食べたいと思うのかくらいの情報は提示すべきです。
外部業者を利用するのなら、自分がやるべきでないことをお願いするべきで、自分がやるべきことは、自分でやるべきです。レストランの例で言えば、調理は自分がすべきことではないので、プロに委託しますが、何を調理してもらうのか?について考えることは、自分ですべきこと。ということです。
では、自分がやるべきことと、やるべきでないことをどのように見分ければよいのでしょうか?
それには、少なくとも一度は自分の手でやってみる。というのが、何よりも確実な方法です。自分でやって、実際に経験すれば、多くの気づきが得られるものです。
その気づきがノウハウになり、社内に蓄積されることで、会社としての経験値・レベルはどんどん向上していきます。作業を業者に委託するにしても、業者の言いなりになってしまうということもありません。
自前でやる以上に、自由度の高い方法はありません
「標的型メール訓練実施サービス」を利用する形式では、実施の都度、何十万円~何百万円もの費用が必要になります。これでは、年に1度か2度できる企業は良い方で、数年に1度しかできそうにないという企業や、1度実施したらもういい。と考える企業もあるでしょう。
しかし、自前でやるなら費用はかかりません。担当者の時間コストなどはあるでしょうが、持ち出しはないわけですから問題にはならないでしょう。これなら、年に何度でも実施できますし、実施のパターンなども自由に設定することができます。
訓練実施で得た気付きを、次の訓練で取り入れてみたり、テストして確認したいことをすぐにやってみたりと、柔軟に手を打つことができます。
業者に委託して実施する方法では、さすがにこのような自由度の高さは実現できません。
体裁の整った立派なレポートが欲しいだけ。とか、とにかく訓練を実施した事実が作れればそれでいい。というなら話は別ですが、万一事故が起きれば、その責任は誰あろう、セキュリティ担当者であるあなたが被ることになります。
従業員の誰かが標的型メールを開いてしまった結果、あなたの人生が大きく狂わされてしまうかもしれない。そんなリスクがあるかもしれないのに、とりあえず業者に任せておけばいい。とか、訓練をやった事実だけあればいい。などと思っていられるでしょうか?
あなた自身の身を守るためにも、そして、本気で会社のセキュリティレベル向上を考えるなら、コストがかからない上に、断然自由度が高い、自前での実施は、悩むまでもない選択肢。と言えるのではないでしょうか。
→次の記事へ( Windows7をマルウェアから守る3つの設定。仕事で使うなら、これだけはやっておけ! )