抜き打ちで渇!の標的型メール訓練を行うのは有りですか?
日頃の慢心に「渇!」とばかりに、従業員には内緒で、抜き打ちで訓練を実施したい。組織のセキュリティ確保について、真剣に考えれば考えるほど、より実戦に近い形で訓練を行いたいと思うものですよね。
抜き打ちで訓練を実施すれば、従業員をビックリさせるにはぴったりなので、高い訓練効果が期待できそうですが、逆に模擬のマルウェアとはいえ、それを開いてしまうことによって従業員が慌ててしまったりして、最悪の場合、業務に支障が出てしまう。そんなリスクも考えられるだけに、「抜き打ちで訓練を実施するのは良くない」そんな意見も多々あります。
このサイトでも、「抜き打ちで訓練を実施するのは良くない」というトーンで訓練実施の手引きを書いていますが、実際のところはどうなのでしょうか?
訓練を装った本物の標的型メールだって、決して無いとは言い切れません
抜き打ちで訓練を実施することは良いのか?それとも悪いのか?
この問いに対する答えを言うなら、「従業員がそれを受け入れるか?否か?」ということであると考えます。
従業員側は訓練が実施されることを知らなければ、ある日突然、訓練メールが送られてきても、そうだとは当然気づきません。メール本文を見ただけでは、それが訓練なのか、本物なのかわからないわけです。
添付されている模擬のマルウェアを開けばそれとわかるかもしれませんが、人の心理の裏を掻いてくる標的型攻撃にあっては、訓練を装った本物の標的型メールというのも十分あり得ます。「これは訓練です」と表示されても、公には訓練を実施することがアナウンスされていなければ、本当に訓練なのかどうか、従業員の側では判断が付きません。
この疑心暗鬼の状態が、組織に混乱を引き起こしたり、従業員を不安な気持ちにさせてしまったりするわけで、慌ててしまった結果、「これは訓練でした~」と言われたら、ホッとする反面、「この忙しい時に何だよっ!」と怒りがこみ上げてきたりもするわけです。
要は心の準備ができているか、いないかです。
特に繁忙期で忙しかったり、たまたまトラブル対応が発生していて心の余裕が無かったりするような時に、横から訓練メールなど送られてきたら、たまったものではありません。訓練は大切だとわかっていたとしても、「勘弁してくれよ~」と誰しも思うはずです。
訓練を実施する側は、標的型メールはいつ何時送りつけられるかわからない。だからこそ、どんなに忙しい時でも適切に対処できるだけの耐性を身に付ける必要があるんです。という想いがあるかもしれませんが、実施される側は、そんなことわかっちゃいるけど、だからって今じゃなくてもいいだろうによ。と思うもので、このギャップが、双方に心のミゾを創り出してしまうことに繋がります。
この心のミゾが社内でのクレームに繋がり、部署間の不協和音となって、お互いの協力関係に亀裂を生じさせることになってしまっては、折角の訓練も、何のために行ったのかよくわからないという結果にも成りかねません。これが、抜き打ちで訓練を実施する際の最大のリスクと言えるかと思います。
しかし、このリスクも、原因が「心のミゾ」に有るのであれば、それが発生しないようにしさえすれば回避できると考えられます。要は、従業員の側に心の準備ができていて、訓練メールが送られてきても、それを受け入れることができる状態になっていれば、抜き打ち的に訓練を実施したとしても、何の問題も起きないはずです。
訓練実施をアナウンスした上で訓練を行うのは、まさに従業員の側に心の準備をしてもらうためですが、「訓練実施をアナウンスしたら訓練の効果が無い」という意見は、大方の場合、アナウンスから訓練実施までの時間差があまりないことに起因しています。
これから訓練メール送るよ。と言ってすぐに送れば、誰だってそうだと気づくのは当たり前のことです。
抜き打ちでやるなら、事前の根回しと配慮が不可欠
しかし、アナウンスから訓練実施までの時間差が開いてしまえば、送られてくるメールが訓練メールなのかどうかはわからなくなります。「人の噂も75日」と言われるように、時間と共に人の関心も薄れてくるものです。
この心理を応用し、例えば、「我が社では年間を通じて抜き打ち的に標的型メールの訓練を行う。訓練メールはいつ送るかわからないので、皆、心してかかるように」とアナウンスすれば、従業員の側には心の準備ができます。この一言で、突然訓練メールが送られてきても、「いきなり何だよ!」と思う人は減らせるわけです。
しかし、そうは言っても、心の余裕がない時に訓練メールが送られてくるのは勘弁して欲しいと思うもの。そこで必要となるのが、事前の根回しと配慮です。
仕事は一人で行うものではありません。チームワークで行うものです。余裕がない時に、更に面倒な事が降ってくるのは願い下げですが、サポートしてくれる人が居れば話は変わってきます。訓練メールが送られてきて、慌ててしまうようなことがあっても、それをすぐ横でサポートしてくれる人が居れば、大きな問題に発展するようなことはありません。
抜き打ちで訓練を行うのであれば、訓練対象者の所属長など、各部署の仕切り役となる方に事前に根回しをしておき、現場において、訓練対象者をフォローできる体制を整えておけば、業務が混乱してしまうなどということは避けることができるはずです。
とはいえ、大きな事故が発生しているような時に訓練メールなど送れば、総スカンを食らうのは火を見るより明らかです。幾らフォローを行う体制を整えたところで、TPO(Time(時間)、Place(場所)、Occasion(場合))は考えるべきでしょう。
裏では訓練対象者をフォローできる体制を整えた上で、訓練対象者にとってあまり負担にならない状況の中で、抜き打ち的に訓練を実施する。結局のところ、どれだけ相手のことを思いやって訓練が実施できるかで、相手もそれがわかっていれば、悪く思うことなどないはずです。
格好つけて言うなら「訓練実施は愛情を持って」というところでしょうか。少々こっぱずかしい気もしますが、そういう気持ちで臨めば、抜き打ちで訓練するのも十分ありだと思います。
→次の記事へ( 形だけのプライバシーポリシー?ベネッセの情報漏洩に思う )