何人が開封?で一喜一憂しない。訓練で本当に重要な事とは?
標的型メール訓練を実施すると、模擬のマルウェアを開封してしまった従業員が何名いたのか?ということに注目が集まります。
従業員全体の何パーセントが模擬のマルウェアに引っかかってしまったのか?というのは、具体的な数字として表れるだけに、この数字には一喜一憂してしまいがちですが、開封率自体はあくまで訓練実施の結果でしかなく、この数字の高低を見て、良かった・悪かったを論じてもあまり意味はありません。
また、模擬のマルウェアを開封してしまった従業員が数えるほどしかいなかったので、ウチは問題ないな。と考えるのも、また、正しいことではありません。
開封率は組織のリテラシーレベルと、訓練実施のやり方次第で変わるもの
開封率だけを見てしまうと、開封率が下がったら、それはセキュリティ教育の賜物。と考えてしまうかもしれませんが、実際には、話はそう単純ではありません。
標的型メールについて熟知している従業員が、誰が見ても怪しいとわかるメールを開いてしまうということは、確率的には低いでしょう。
逆に、標的型メールという言葉すら知らない従業員が、ぱっと見には不審なメールには見えないメールを受け取れば、不正なメールとは知らずに開いてしまう確率は高いと考えられます。
このように、開封率自体は、組織のリテラシーレベルと、訓練実施のやり方次第で如何様にも変わるので、この点がきちんと設計されることなく訓練が実施されていたら、過去の結果と比べてどうであったか?を考察したところで、適切な結果を得ることはできません。
また、全社的に訓練を実施すれば、従業員同士の繋がりによって訓練の内容が共有されやすいので、実施の仕方によっては、事前に訓練の内容が周囲に漏れてしまい、開封率が低くなるということもあります。
開封率を元に何かしらの考察を行うのであれば、訓練の内容や訓練実施の状況なども考慮する必要があり、単純な数値の比較で判断するのは、あまり適切とは言えないでしょう。
大事な事は、標的型メールを受信したら、どう行動するか?
標的型メール訓練を実施すると、模擬のマルウェアを開封したか・しなかったか?に注目が行きがちで、誰が開いてしまったのか?に関心が集まりがちですが、本当に大事な事は、誰が開いてしまったのか?ということではなく、標的型メールを受信した各従業員が、その場でどのような行動をとるか?です。
模擬とはいえ、マルウェアを開いてしまったということは、それがもし本物であったとしたら、その従業員のパソコンはマルウェアに感染してしまった。ということになります。
この時、その従業員がマルウェアに感染したことに全く気が付かない、もしくは、どうしたらよいかわからなくて周囲に知らせないまま。だったとしたらどうなるでしょうか?
また、その場で周囲に話をしていたとしても、誰も関係部署に報告を上げるといった行動を起こさないままだったとしたらどうなるでしょうか?
マルウェアに感染したかもしれない。となれば、他に感染が広がっていないか?情報漏えいは起きていないか?など、被害を拡大させないため、一刻も早く確認を行う、また、対外的にどのような対応を取るべきか?などについて、迅速に判断を行う必要があります。
にもかかわらず、現場が何もアクションを起こさないままでいたとしたら、二次被害・三次被害を引き起こすことに繋がってしまうかもしれません。
実際、日本年金機構の事例では、最初に感染が発覚してからの対処が適切でなかったために、大きな問題を引き起こすに至ってしまったことは、新聞などで報じられている通りです。
標的型メールはいつ、どのような形で送られてくるかわかりません。どのような状況で送られてきたとしても、従業員の誰もが慌てることなく、迅速かつ、適切な対処を取れること。また、そのためのフローが、組織の中で適切に整備されていること。
怪しいメールなんて誰も開いたりしないからウチは大丈夫。と考えるのは、事故さえ起きなければ何の問題もないと考えるのと同じことで、それは単にリスクに目をつむっているだけです。
怪しいメールが送られてくる、また、万一、そのようなメールを開いてしまうことがあっても、従業員の誰もが適切な対処を取れるようになっている。組織全体がこのような状態になっていることこそ、目指すべき理想でしょう。
訓練の実施によって、課題を見える化しましょう
標的型メールについて机上で学習し、その危険性などについて知ることはもちろん大事なことですが、学んだことが即実践できるか?というと、それはまた別の話です。
見ると聞くでは大違い。という言葉通り、模擬とはいえ、実際に標的型メール訓練を実施してみると、従業員の行動から、気づかなかった課題が幾つも浮かび上がるということがあるものです。
本当に標的型メールが送られてきて、会社中が右往左往してしまうというのでは、組織に甚大な被害が及んでしまうことになってしまうかもしれません。そうなってしまう前に、見えていなかった課題を明らかにし、事前に打てる手を打っておく。これは、セキュリティ担当者であれば、一日も早くやっておくべきことでしょう。
怪しいメールを開いたりしないよう、従業員を教育する。というのは、標的型メール訓練においては、目的の一つでしかありません。
標的型メールに対して、各従業員がいつでも適切な対処を取ることができるかどうか?万一のことがあっても、各従業員の連携によって、被害を最小に留めることができるかどうか?
本当に大切なのはこの点であり、怪しいメールを開かないよう注意する。というのは、各従業員が行うべき対応の一つに過ぎないのです。