成功する標的型メール訓練は「思想教育」が先
昨年(2017年)頃から、標的型メール訓練はコモディティ化(一般化)したと言われるようになりました。
確かに弊社への問い合わせも、これまでだったら、標的型メール訓練の話なんてしても関心など示さなかったような業種の企業からも寄せられるようになり、標的型メール訓練が従業員教育の一つとして広く普及してきたのだなと感じています。
しかし、その中身は?というと、表面的な部分を真似しただけのものであったり、外注に任せっきりだったりと、一言で言えば、「これじゃあ、先が続かないな」と思うような訓練を行っているところがまだまだ多い。と感じます。
訓練の実施があたり前のものとなっていくこと自体は、普及促進の旗振りをしている者からすれば嬉しい事ではあるのですが、間違った訓練が普及してしまうようでは、いずれ、
「標的型メール訓練?ああ、あんなのやっても意味ないよ」
となり、一過性の流行り事として廃れていってしまうであろうことは否めません。
折角、訓練を実施するのですから、たった一度きりのもので終わらせたりせずに、会社の成長を促す有用な施策として定着を図りたいものですが、そんな訓練にするにはどうすればいいのでしょうか?
・訓練を実施しても、社員の側が「やらされ感」を感じて協力的でない。
・訓練を実施しても、効果が全く実感できない。
・訓練を実施しても、その必要性を理解してもらえない。
もし、あなたがこんなことを感じたことがあるなら、是非、考えてみてもらいたいことがあります。それは、
あなたの会社で実施している訓練には、
「思想」を伝える要素が入っているか?
ということです。
多くの会社が行っている「間違った訓練」は、「模擬の標的型メールを開いたか否か」にばかり注目して、「思想」の要素が入っていません。
典型的な失敗例は、訓練で送った標的型メールと似たようなメールが送られてきた場合は開かなかくなったけれど、それ以外は何の疑いもなく開いてしまい、結局被害に遭った。というケースです。
開封率ばかりに着目してはいけない。ということは、弊社ばかりでなく、他の業者や専門家などによって、以前からあちこちで言われていることもあり、最近では「エスカレーション(報告)まで含めてきちんとできる事」を目的として訓練を実施する組織が増えてきましたが、それでも、思想の要素が入っていなければ、結果としては同じことが起こり得ます。
訓練で送った標的型メールと似たようなメールが送られてきた場合は報告が上がるけれど、それ以外は何の疑いもなく開いてしまい、結局被害に遭った。というのでは、標的型メールの手口が無数に存在する現在では、訓練などやっても意味がない。と考える方が出てきても不思議ではありません。
・知識の乏しい社員は、言われたことしか理解しない。(だから、見たことのない手口に引っかかる)
・知識のある社員は、こんなことやっても意味がないと反発する。(だから、訓練実施に協力してくれない)
こんな状況になってしまっては、訓練を実施する担当者の方も、やる気をなくしてしまう一方です。
訓練実施後の理想的な姿は、
社員の誰もが、
インターネットを使って会社を騙そうとする犯罪者の手口に関心を持ち、
お互いが協力し、知識の共有をし合って、
第三者の悪意から会社を守るよう、常に意識し、行動する。
ということでしょう。
このような結果は、標的型メールの見分け方について学習する、また、怪しいメールを見たらエスカレーション(報告)を上げる練習をする。ということでは実現できません。
「関心を持つ」「協力する」「行動する」
これらはいずれも、自発的なものであり、テクニックや方法論を教えることでできるようになるものではありません。
逆に、社員が関心を持ち、協力し、行動するようになれば、テクニックや方法論など教えなくとも、自らテクニックや知識を吸収し、身に着けるようになるものです。
理想的な姿とは、まさに社内の風土や習慣として根付いたものであり、社内の風土や習慣は、多くの社員がそれをあたり前のものとして実施することで形作られるものです。
例えば、来客があると社員全員が一斉に挨拶をする会社がありますが、そういうことをしていない会社が、ある日突然、うちも来客があったら全員であいさつをしよう。と決めても、そう簡単には挨拶などできるようにはならないものです。
しかし、来客があったら挨拶をすることが「あたり前」となっている会社では、挨拶をすることに抵抗がありません。新入社員もすぐにその文化に慣れ、あたり前のように挨拶するようになります。これが風土・習慣の力です。
ほとんどの社員がそれを「あたり前のこと」として実行すること。つまり、社内の風土や習慣を形成するには、「同じ方向を向いている社員の数」の力が必要だということです。
そして、社員を同じ方向に向かせるには、一つの思想を愚直に伝え続け、その思想を理解し、協力してくれる社員の数を段々と増やしていくしかありません。
しかし、ある一定の数を超えれば、そのような思想を持つことが社内であたり前のこととなり、その会社の文化として根付くことになります。
こうなった時、あなたの会社は、社員の誰もがセキュリティについて関心と知識を持ち、犯罪者が繰り出す手口に簡単に騙されたりしないようになることはもちろん、万一、被害に遭ってしまうようなことがあっても、お互いの協力によって、被害を最少に留めることができる強い組織になっていることでしょう。
あなたの会社が、このような組織になるのか、それとも、何度訓練を実施しても変わり映えのしない組織になるのかは、あなたが訓練実施について思想を持ち、その思想を伝える要素を訓練に組み入れるかどうか、次第です。
業者に訓練実施を任せるのも良いのですが、あなたが訓練実施を委託する業者は「思想」を持っているでしょうか?また、あなたの「思想」を伝えるような訓練実施を提案してくれる業者でしょうか?
社員教育を実のあるものにするか、それとも、形だけで無駄に終わらせてしまうか、もし、あなたがこれから訓練を実施しようと考えているのでしたら、是非、この点についてじっくり考えてみていただけたらと思います。
→次の記事へ( 多要素認証を突破する犯罪者の手口とは? )