第12話 次回の訓練実施に向けての課題の抽出
訓練実施結果からの考察と共に、次回の標的型メール訓練実施に向けての課題抽出は、訓練実施の報告書をまとめる上で重要な作業です。これまでに述べたとおり、セキュリティ教育の実施前と実施後での「開封率」や、前回の訓練と今回の訓練の「開封率」を比較し、開封率が下がったからといって、標的型攻撃メールへの耐性が身についたと考えるのは早計です。
毎回、全く同じ内容の訓練メールを送付すれば、開封率が下がるのは当然ですし、訓練メールだとわかっていれば、開封率が低くなるのも当然です。「開封率」については、数値の高低を見るのではなく、何故そのような数値であるのか?その数値となるに至った原因(内容)を掘り下げて考えていくべきでしょう。
開封率が低かった。という結果を見て、教育効果が現れているおかげだと思っていたら、実は多くの従業員が忙しくて訓練メールを見ていなかっただけだった。なんていうのでは笑い話にもなりません。
標的型メールに関する理解度によって、検討すべき課題は異なる
訓練メールについては、添付ファイルを「開いたか」「開かなかったか」が取り沙汰されることが多いですが、訓練対象者が訓練メールを受け取ってからの行動は単純ではありません。
・訓練メールはいつ読まれたのか?
・独力で訓練メールだと気づいたのか?それとも他の人からの情報でそうだと気づいたのか?
・何を見て訓練メールだと気づいたのか?
・訓練メールを見てどのような対処を行ったのか?
・何故添付ファイルを開いてしまったのか?
・添付ファイルを開いてしまった後、どのような行動を取ったか?
などなど、添付ファイルを開いてしまった人も、そうでない人も、掘り下げていくと様々なケースがあることがわかるはずです。
あたりまえのことですが、標的型メールに関する理解度は、人によって大きく異なります。年齢も出身も趣味嗜好も異なる人達が集まる組織においては、全員が同じ理解度であるということはありません。標的型メールに関する知識レベルは、ざっと分けただけでも以下のようなレベルに分けられます。
- 標的型メールについて全く知識が無い。
- 言葉は知っているが、具体的に何かまでは知らない。
- 大体のことは知っているが、詳しいことは知らない。
- 見分け方などについては聞いた記憶があるが、具体的にどうやって見分ければ良いのかまでは知らない。
- 見分け方があることは知っているが、マニュアルとかがないと、実際に見分けることができない。
- 実際に見て知っているケースであれば、マニュアルとかがなくても対処できる。
- 知識はあり、巧妙に作られたものでも、ちゃんと見分けて対処ができる。
- 見分け方や対処方法について、周囲に教えることができる。
1.のレベルにある人が、添付ファイルを開封してしまったのなら、何よりもまず、標的型メールに関する知識を身につけてもらうことが喫緊の課題になりますが、7.のレベル以上にある人が添付ファイルを開封してしまったのであれば、何故そのようなことになってしまったのか?をしっかり検証する必要があります。
添付ファイルを開封してしまった人には改めてセキュリティ研修を行い、次回の訓練実施に向けて、開封率を低減するよう努めます。といった対処案は、実際にはピンボケな案であることは、上記の要素を考えれば、ご理解いただけるものと思います。
では、実際の改善に繋がる課題抽出や、対処案の策定を行うにはどうすればよいでしょうか?
[auth]
改善に繋がる課題を抽出するための第一歩は、起きている事象を簡潔な言葉で表すこと
それにはまず、発生している事象を、簡潔な言葉で、誰もが同じようにイメージできる形に表現できるよう、ヒアリングなどの調査によって掘り下げていく。ということをお薦めします。
例えば、標的型メールについて全く知らない人が、「添付ファイルを開いてしまった」という事象があったとします。これは、その人が添付ファイルを開いてしまったという結果と、事前の理解度調査などから知ることができますが、この結果を以て、「セキュリティ研修を実施すれば良い」と結論づけるのは早計です。
標的型メールについて全く知らない人は、何をきっかけに添付ファイルを開いてしまったのでしょうか?差出人を見て無条件に信用してしまったのでしょうか?それとも、メール本文の内容から、添付ファイルを開かないといけないと思ってしまったのでしょうか?
標的型攻撃に慣れた人であれば、差出人の名前を見ておかしいと気づくようなメールで、おかしいと気づかないのだとすると、それは何故なのか?
その答えが、「会社のシステム管理者からメールが送られてきたので」であれば、システム管理者から周知を行う際はメールは使わない。といったルールを定め、従業員に周知することが対処策となるかもしれません。
いくらセキュリティ研修を実施したところで、本人が標的型メールだと全く気づかない、もしくは、それは標的型メールではないと思い込んでしまったら、全く効果がありません。
標的型メールにひっかかってしまったのは何故なのか?その原因を幾つもの要素に分解し、誰もがその状況をイメージできる形に表現する。それも「簡潔な言葉で」。
表現を簡潔にするためには、原因をひと言で表せるようなレベルにまで掘り下げなければなりません。そして、簡潔な言葉は、人によって解釈の違いが生まれるのを防いでくれます。
これが、簡潔な言葉で事象を表すことの効能です。
「何となく開いてしまった」というのはありがちな答えですが、添付ファイルを開いてしまった状況を、誰もが同じようにイメージできるよう、まるで映画のコマ送りのように、ワンシーンずつ、簡潔な言葉で表現するよう、掘り下げて調査していくと、それまで気づかなかった原因が見えてくるものです。
何事も積み重ね。とことんこだわってやれば、自ずと結果に繋がるものです
「添付ファイルを開いてしまう」という事象一つとっても、課題抽出を行うには、様々な要素について、掘り下げて考える必要がありますが、標的型攻撃への対処は「添付ファイルを開かないようにすること」だけではありません。
標的型メールではないか?と気づいた時の対処が適切に行えるか?また、万一、添付ファイルを開いてしまった場合の対処が適切に行えるか?さらには、日常において、標的型メールへの注意を怠らないようにすることができるか?などなど、組織としてのセキュリティレベルを維持・向上するための課題は幾つもあります。
全てについて毎回原因を掘り下げ、対処策を洗い出していくことができれば理想ですが、なかなかそのようにはいかないことの方が実際だと思います。
現実には、毎回の訓練実施において、重点的に確認したいポイントを定め、そこにフォーカスした調査やヒアリング、課題の検討を行ったり、前回までの訓練で抽出した課題が改善できているかどうかを確認することを目的に、訓練内容を設計するといった方法が採られることになるかと思いますが、たとえ一つずつでも改善策を積み上げていくことを続けていけば、組織のセキュリティレベルは確実に高まっていくことになります。
原因を掘り下げて、つぶさに調べていくことは大変な作業ですが、ここは億劫がらずにとことんこだわっていただき、標的型攻撃に対し、揺るぎない自信を持って対処できる組織の実現という結果に、是非繋げていただきたいと思います。[/auth]
→次の記事へ( 情報弱者が攻撃者になる時代が来る。いや、もう来ているかもしれない )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
