標的型メール訓練実施にまつわる誤解
標的型メール訓練は最近になって登場した新しい概念ではありません。それゆえに、世の中には様々な文献や経験談などの情報が存在します。その中には、標的型メール訓練など意味がない。といった主旨の記述や、実施の効果に懐疑的な意見なども見受けられます。
実際、訓練を実施した企業の中には、最初のうちは効果こそ認められたものの、2回目・3回目と繰り返すうちに、目立った効果も認められなくなり、役員に対して費用対効果が説明できないとして、実施をやめてしまった企業もあると聞きます。
このような経験から、標的型メール訓練なんてやっても意味ないよ。と考えるセキュリティ担当者の方もいらっしゃるかもしれません。
しかし、これは、標的型メール訓練にまつわる誤解のひとつです。
ゴール設定の間違いは、間違った判断を生んでしまいます
標的型メール訓練の実施が意味がないと考える方が根拠としている理由の多くは、訓練を実施しても標的型メールによる被害を100%防ぐことなどできないじゃないか。というものでしょう。
被害を100%防げないのなら、被害に遭ってしまうという点では、やってもやらなくても結果は同じ。だったら、費用や手間をかけたところで無駄なだけなのだから、訓練実施など全く無意味。そんなことに時間やコストをかけるくらいなら、システム対策にかける方がよっぽどマシ。と考えるのは、至極妥当な考え方といえます。
しかしここで、訓練実施の目的を変えると、全く違った判断が生まれます。
例えば、標的型メール訓練の実施が、標的型メールによる被害を100%防ぐことが目的ではなく、標的型メールについて理解できていない人が社内に存在するかどうかを確認することが目的であったり、標的型メールが送られてきたとわかった後の対処フローが滞りなく実施できるかどうかを確認するといったことが目的であったらどうでしょうか?
被害を100%防ぐことが目的ではなく、被害を最小にする、また、被害が発生する可能性を少しでも減らすことが目的であったら、結果を測定する方法も異なってきますし、結果の良し悪しを判断する指標も異なってきます。
標的型メール訓練の実施は、直感的には、標的型メールによる被害を100%防ぐための対策のように思えますが、それはゴール設定としては正しくありません。
地震や火災から身を守るための避難訓練は、地震や火災による被害を100%防ぐために行うものでしょうか?と問われれば、そうであると答える方は恐らく皆無でしょう。避難訓練を実施したところで、実際に地震や火災が発生したら、被害を100%防ぐということは難しく、大なり小なり被害が発生しうるものだからです。
それでも避難訓練を実施するのは、万一の際に被害を最小に留めるためであり、また、イザという時に慌てずに対処できるようにするためです。避難訓練を実施しておくことによって、失わずに済む命があるなら、それに越したことはありません。
標的型メール訓練の実施はこれと同じで、被害を100%防げないなら意味がないと考えるのは、地震や火災による被害を100%防げないなら避難訓練など無意味である。と考えるのと同じことです。
何事もゴール設定を間違えてしまうと、判断の過程自体は論理的には正しくても、結果としては間違った判断をしてしまうことになります。
標的型メール訓練実施のゴールは一つではありません
標的型メール訓練実施によって得られる結果は一つではありません。実施の考え方や方法によって、得られる結果は変わってきます。つまり、ゴールは一つではない。ということです。
目標とすべきゴールは、訓練を実施する組織にとって、今、何を優先とすべきか?また、何が必要であるか?によって全く違ってきます。セキュリティに全く無関心な社員ばかりの組織と、セキュリティに関する知識・意識が高い社員ばかりの組織では、設定するゴールも、訓練の実施内容も全く違ったものになるのは当然のことです。
自社とは全く状況が異なる組織の例を参考に、自社での標的型メール訓練実施は効果があるかどうかを推し測ったところで、前提が全く違うのですから、正しい判断が得られるわけがありません。
また、前提が全く異なる組織の事例をそのまま真似ても、適切な結果が得られるとは限らないでしょう。
標的型メール訓練の実施によって、次に繋がる結果を得られるかどうかは、すべてゴールの設定次第であり、ゴール設定が正しく、また、そのゴールに向けてどのように進んでいくか?の方法の選択が適切であれば、実施は無駄であった。という結果となることはないはずです。
あなたがもし、標的型メール訓練の実施など無駄以外の何物でもないといった考えをお持ちであるか、また、そうした話を耳にして、やるべきかどうか迷っているなら、この機に、あなたの組織における、目指すべきゴールとは何か?について、一考してみていただければと思います。