有効な効果測定を行うには、システム構築とノウハウが必要という誤解
標的型メール訓練の実施において担当者が苦慮するのは、費用対効果をどのようにして算出するか?ということでしょう。内製にするにしても、外注するにしても、訓練実施には相応の費用や労力がかかります。
実施する以上はかかる費用や労力に対して、期待以上の効果が得られたのかどうかがわからなければ、上司や役員からは評価を得ることができません。
標的型メール訓練サービスの案内などを見ると、有効な効果測定を行うには、相応のシステムを構築しなければならないとか、ノウハウが必要といった記述があることから、
「やっぱり専門業者に委託しないとダメなのかなあ?」
と思われる方もいらっしゃると思うのですが、果たして本当にそうなのでしょうか?
システム構築って本当に必要?
筆者自身、システムエンジニアをやっているのでよく思うのですが、「システム構築」という言葉は、思考停止ワードの一つだと常々感じています。
システム構築というと、何とも素晴らしい仕組みが出来上がるようなイメージがあり、それはとても立派なもので、とても高価なもの、また、専門家でなければ作ることができないもの、といったイメージが思い浮かびます。
エンジニアから「システム構築が必要」などと言われてしまうと、「そうなのかあ」と思ってしまいがちですが、達成したい目的を考えると、システムなどという程のものを作らなくても済むようなケースは多々あります。もちろん、ケースによっては、逆にシステム化した方がいい場合もあります。
こうしたケースに対して、良識のあるエンジニアであれば、適切なアドバイスをしてくれたりするものですが、顧客の要望を額面通りにしか受け取れないエンジニアや、残念ながら、営業成績のために、あえてシステムの導入を薦めるようなエンジニアもいたりするので注意が必要です。
標的型メール訓練の例で言えば、標的型メール訓練サービスを提供するような業者の場合は、作業効率化や、サービスとしての充実度を高めるために、訓練実施に関する一連の作業をシステム化することは必要だと思います。
しかし、年に数えるほどしか訓練を実施しない企業側からすれば、訓練実施のために、高度なシステムを構築するまでの必要性はないと言ってよいでしょう。
実際、システム構築などしなくても自前で訓練が実施できることは、「標的型攻撃メール対応訓練実施キット」を使って訓練を実施されているお客様がいらっしゃることからも明らかであり、有効な効果測定をするためには、それなりのシステムを持たないといけない。というのは、ただの思い込みに過ぎないと言ってよいと思います。
ノウハウと言っているそのノウハウとは?
次にシステム構築と並んで必要と言われるのが「ノウハウ」ですが、これも、ともすると思考停止ワードになりかねない言葉です。
ノウハウと言えば聞こえはいいですが、
ノウハウと言っているその「ノウハウ」とは具体的に何でしょうか?
もし、それがなかったとしたら、どのようなことになるのでしょうか?
具体的な事例を挙げて踏み込んで考えていくと、ノウハウと言われているものは、実はたいしたことではなかったり、それがなかったとしても、実行上はあまり問題にならなかったりすることは往々にしてあるものです。
ノウハウと言っているその「ノウハウ」とは具体的にどのようなことで、
それがないことによって、実行上どのようなことが起きうるのか?
そして、そのノウハウがないことは致命的な事であるのか?
また、他に代替が利かないようなものなのか?
そういったことを踏み込んで考えた上で、やはり必要なノウハウであると判断され、それが自社にないものであるなら、外部にそれを求めるのは必要な事であると思います。
標的型メール訓練実施の例で言えば、ノウハウと言えば、訓練メールの作り方や、送信方法、また、開封率の算出方法などが挙げられますが、これらは、ネット上で公開されている文献などをあたれば得られるものです。
もちろん、他にもありますが、訓練を実施する上でなくてはならないか?というと必ずしもそうではなく、自社で試行錯誤しながら蓄積していく形でも十分だったりすることも少なくありません。
プロに依頼するなら、プロから得たいものは何なのか?を明確にしよう
お金を払ってプロに頼むというのも、選択としてはもちろん有りだと思いますが、予算が限られているのであれば、プロに求めるノウハウとは具体的に何なのか?を明確にした上で業者選定をしたいものです。
そうでなければ、かかるコストが妥当なものなのかどうか判断がつかず、無駄にコストをかけていたとしても、それに気が付くことなく、ただ、業者に言われるがままに請求された金額を払うといったことにもなりかねません。
初めてやることは、ノウハウのある業者にお任せするのが一番間違いがいない。というのは間違ってはいませんが、コストを無駄に浪費したくないのなら、ノウハウという言葉の響きに酔って思考を停止し、業者の言われるがまま、全てを鵜呑みにしてしまうということだけは避けるよう、企業側も努力すべきだと思います。
→次の記事へ( セキュリティ対策をタダ同然で実施する秘策とは? )