標的型攻撃メールに対する教育訓練実施計画書をご提供します
従業員向けに標的型攻撃メールに対する教育訓練を実施したいと考えても、実際に実施するにあたっては、社内に説明・了解を得るために「実施計画書」が必要となり、これを作成することが面倒、また、難しいといった理由から、訓練実施に踏み切れなかったり、また、業者に委託する道を選択されたりといった企業様もあるかもしれません。
特に、計画書を作成する時間や人手がないために訓練実施に二の足を踏んでしまい、優先順位が後回しとなったまま。というのでしたら、それは非常に残念なことです。
本ページでご紹介する「標的型攻撃メールに対する教育訓練実施計画書」(PDF 17ページ)は、以下に示すような企業をモデルとして作成を行った、標的型攻撃メールに対応するための教育訓練の実施計画書となります。
本サイトの特質上、「標的型攻撃メール対応訓練実施キット」を使用することを前提とした計画書となっていますが、実際の訓練で使用できるような実施計画書を公開している例は、インターネット上を探してもなかなかないと思います。
さすがに、実際の訓練で使用された実施計画書の実物そのものを公開することは難しいのですが、実際に訓練を行った経験に基づいて一般化した内容ではありますので、本書はどの企業様においても参考になるものと思います。
現在、実施計画書を策定されている企業様、また、実施計画書を参考にしながら、自社でも教育訓練を実施してみたいとお考えの企業様は、本書をご活用いただけたらと思います。
本書で前提とした企業のイメージ
従業員数300名の中堅企業。情報システム部門はあるが、Webサーバやメールサーバは外部のシステムを利用しており、社内にサーバ施設は保有していない。サーバの設定などは外部のシステムベンダーに委託をして行ってもらっており、サーバ設備を購入し、自前で構築を行うだけの社員リソースはないため、演習の実施にあたって、社内に自前で設備を構築することは、予算・人員・場所の問題から難しい状況にある。
大手企業を始め、多くの企業と取引を行っている状況にあっては、標的型攻撃メールへの対応は取引先との信頼関係構築・維持のためにも喫緊の課題であり、情報システム部門を中心に各種の対策を検討・実施している状況にあるが、従業員全体の情報セキュリティ意識を高めることも必要と考え、標的型攻撃メールを実際に体験してもらい、机上で得た知識を基に、実際に対応する練習を行う「標的型攻撃メール演習」の実施を検討することを決定した。
しかし、実施方法について検討したところ、演習の実施を外部に委託した場合、必要となる予算は100万円を越えてしまい、演習の実施は初めてという現状においては、費用対効果を算出することが難しく、予算確保について、上層部への説明がしづらい状況となってしまった。
そのような中、インターネット上で「標的型攻撃メール対応訓練実施キット」なるものがあることを知り、詳細について調べてみたところ、社内にサーバ設備がなくても演習を実施することができ、且つ、必要となる費用も外部に委託した場合の10分の1以下で済むとあり、試用版を用いて実際に演習ができそうかどうか確認をしたところ、システムベンダーの手を借りなくとも、問題なく実施できそうであることが確認できたため、上層部への報告の結果、キットを用いて演習を実施することにした。
標的型攻撃メールに対する教育訓練実施計画書の目次
1.本書について
2.実施目的
3.演習実施期間
4.演習実施によって期待する効果
5.実施費用
6.実施体制図
7.実施内容
7-1.事前教育の実施
7-2.模擬メールによる演習の実施
7-3.理解度測定の実施
7-4.模擬メールによる再演習の実施
7-5.事後教育の実施
7-6.演習実施委員会の開催
8.実施方法
8-1.事前教育の実施方法
8-2.模擬メールによる演習の実施(演習用メール5種+アンケート4設問)
8-3.理解度測定の実施(6設問)
8-4.模擬メールによる再演習の実施(初回とは異なる演習用メール5種)
8-5.事後教育の実施
9.実施スケジュール
10.演習実施に用いるシステムの要求仕様
11.演習実施に際しての留意事項
実施計画書の入手方法
本書の入手を希望される企業様は、お問い合わせページよりお申し込みください。
本書は無償でのご提供となります。
なお、本書につきましては、同種のドキュメント作成をコンサルタントに依頼すれば、数十万円~の費用を請求されても遜色のない内容のものであるため、誰にでもご提供するというわけには参りません。
そのため、本書に限りましては、訓練実施を検討もしくは実施中、また、訓練実施に興味のある企業様・団体様のご担当者様、また、その関係者様に限定してのご提供とさせていただいております。フリーメールアドレスでのご登録など、所属企業・団体名を確認できないケースにつきましては、誠に申し訳ございませんがお申し込みをお断りさせていただきますことをご了解下さい。
→次の記事へ( ノウハウコレクターになっていませんか? )