標的型メール訓練は効果が「無い」のか?「有る」のか?
タイトルの通り、標的型攻撃メール対策訓練については、効果が「無い」と主張する向きと、「有る」と主張する向きがあります。
標的型攻撃メール対策訓練の効果は「無い」のか?それとも「有る」のか?一体どちらなのでしょうか?この議論を始める前に、考えていただきたいことがあります。
「効果」とは一体何を指しているのでしょうか?
標的型攻撃メール対策訓練が効果のある施策なのかどうか?これを様々な角度から検証し、効果の程を考える取り組みは幾つもありますが、そもそも、効果がある・ないと言っているその「効果」とは何を指しているのでしょうか?
「そんなこと決まってるだろ」なんて言われそうですが、この「効果」の定義が曖昧なままだと、検証結果はあらぬ方向へと進んでしまいますので、ここはひとつ、もう一歩踏み込んで「効果」とは何か?について、一緒にお考えいただければと思います。
訓練の効果について、確率論から検証を行われている例があります。数式を出すと何とも難しい話になりますが、簡単に言ってしまえば、
100人からなる組織があったとして、
訓練の実施によって、攻撃メールの開封率が10%から1%に下がったとしても、
攻撃メールを開封してしまう人は100%の確率で開くのであれば、
被害に遭う確率は100%となり、
訓練をどんなに頑張って実施したとしても、
開封率が0%にできない限りは何の効果も無い。
という話です。
ここで言う「効果」が、「標的型攻撃の被害に遭わないこと」と定義するのであれば、訓練を実施することなど意味が無い。ということになります。開封率が何パーセントだろうと、被害に遭う確率が100%で変わらないなら、確かに訓練の実施など何の意味もありません。
しかし、求める「効果」が「標的型攻撃の手口について知ること」と定義されたら、被害に遭う確率で効果を論じることは誤りになります。効果を検証するには、違う指標が必要です。
考えてみれば当たり前のことなんですが、ここをきちんと定義せずに議論を始めると、話が迷走することになります。「効果」の定義が違っているのに、効果がある・ないを論じたところで、話が噛み合うわけがありません。
「そんなこと当たり前だろうが」という声も聞こえてきそうですが、ビジネスの現場ではこの種の議論をしているケースを往々にして見かけます。「何故を5回繰り返せ」などと言われるのは、この種の議論をしているケースが本当に多いからです。
被害に遭わないようにしたい。と言うけれど・・・
標的型攻撃についての対策をするのは何故ですか?と問われた時、あなたならどう答えるでしょうか?
「被害に遭わないようにしたいから」
というのは、回答として多いのではないかと思います。しかし、「被害に遭わないようにしたい」というのは、具体的に何の被害に遭わないようにしたいということでしょうか?
ある人は「そんなの決まってる。あらゆる被害だよ」と答えるかもしれません。では、「あらゆる被害」の「あらゆる」とは、具体的に何でしょうか?
このようにして突き詰めて考えていくと、具体的にどうしたいのか?がはっきりしていないということが浮き彫りになってきます。
具体的にどうしたいのか?また、どうあるべきなのか?という目標、そして、実現すべき事柄の優先順位がはっきりしていないところで訓練を実施すれば、当然、効果を図るための指標もはっきりしなくなります。
指標がはっきりしなければ効果があったかどうかも曖昧になるわけで、このような状態で訓練の効果がある・ないを論じたところで、正しい結論が出せるはずもありません。
思考停止ワードからの脱却を図ろう
開封率が下がることで被害に遭う確率が減る。ということもよく言われることですが、何故被害に遭う確率が減ると言えるのでしょうか?それは具体的に何を根拠としているのでしょうか?
開封率がいくら下がったところで、攻撃メールを100%開封してしまう人の元にメールが届けば、被害に遭う確率は100%です。
「開封率が下がれば被害に遭う確率が減る」というのは、何を前提にそう判断しているのか?言葉の響きに妙に納得してしまい、思考を停止してしまってはいけません。
まさに、「何故を5回繰り返せ」です。
このように考えると、標的型メール訓練の実施については、まだまだ発展途上にあると感じており、開封率の話だけを取り上げて効果がある・ないと論じるのは、正しいことではないと考えます。
標的型メール訓練は実施の仕方次第で、様々な可能性・効果が期待できると思いますので、思考停止に陥ることなく、もっと掘り下げて考え、実行する試みが行われてもよいのではないかと思います。
→次の記事へ( インシデント問題を解決する、セキュリティ教育のユニークなアイデア )