標的型メールは見抜くことが難しい。は誤りです

標的型メール訓練を繰り返し実施することの意義

標的型メール訓練を実施する企業の多くがぶつかる壁。それは、「訓練を実施し続ける意味があるのか?」という疑問です。

サイバー攻撃の手口にも流行り廃りがあり、今流行っている手口が今後も使われるとは限りません。また、攻撃の手口は年々進化するため、標的型メール訓練を実施したとしても、以後の被害の発生を100%防ぐことができるという保障はどこにもありません。

それ故に、費用や手間のかかる訓練を実施したところで、被害の発生を防ぐことができないなら意味がないと考える方が居ても致し方ないことです。

実際、何度か訓練を実施したけれど、模擬のマルウェアの開封率はある程度のところで下げ止まりとなってしまい、実施結果が前年と大して変わらなくなってしまった。ということで、実施する意味がないとして、実施するのをやめてしまった企業もあると聞きます。

開封率の高低を云々するよりも大事なことがあります

標的型メール訓練では、実際に標的型メールを体験することによって、eラーニング等で学ぶだけのケースよりも効果的に、標的型メールの怖さや対処方法などを身につけることができるため、訓練の実施によって、標的型メールに添付されているマルウェアをうっかり開いてしまう人や、メール本文中のURLを何の疑いもなしにクリックしてしまうような人を減らす効果が期待できます。

そのため、模擬のマルウェアをうっかり開いてしまう人の率(開封率)を如何に減らせるか?に注目が行きがちで、開封率を減らすことを訓練実施の目的に据えてしまう企業も多いのですが、これは、誰もがはまりやすい落とし穴です。

また、見た目にわかりやすいことから、開封率の低減を訓練実施の効果として報告する担当者やコンサルタントがいるのも困ったことです。

マルウェアの開封率というのは、あくまで訓練を実施した結果に過ぎません。開封率というものは、訓練の実施の仕方によって高くなったり、低くなったりするものです。

誰もが怪しいメールであるとわかるような内容にすれば、開封率は低くなりますが、巧妙な内容にすれば逆に開封率は高くなります。また、毎回同じ内容で実施すれば、それは既に見知ったものであるのですから、回数を重ねるほどに開封率が下がるのも当然の事です。

このように、実施方法によって左右される「開封率」の値を0にしようと躍起になることは、天気予報が的中する確率を100%にしようと躍起になるのと同じくらい難しいことです。

しかし、天気予報が100%当たらないからと言って、無駄だと言う人はほとんどいません。それは、天気予報には「的中する確率」以外に大事なことがあるからです。

開封率の高低を云々するよりも大事なこととは?

標的型メール訓練において、開封率の高低を云々するよりも大事な事、それは、

「自社をセキュリティ意識の高い企業にする」

という意志・想いを組織全体に伝えることです。そしてそれは、顧客情報も含めて、自社の顧客や情報資産を誰よりも大切にする企業になる。という意志・想いを伝えることでもあります。

会社の意志や想いを伝えることよりも、開封率を下げることを第一の目的に据え、開封率が低くなることが良いことであると組織に伝えれば、ただ単に開封率を下げることが目的となり、「訓練用のメールは読まずに無視すればいい」といった間違った行動を生み出してしまうことに繋がります。

これは確かに開封率の低減には繋がりますが、訓練を実施することの本質が全く伝わっておらず、本末転倒です。

また、誰もが怪しいとわかるような内容のメールで訓練を実施すれば開封率が0になることも当然ありえますが、それを以ってウチは大丈夫だ。問題ない。と判断してしまうのもまた、本末転倒な話です。

開封率が0になることは、従業員全員がセキュリティ意識を高く持って行動することによって、必然的に得られることになる結果です。そして、従業員全員がセキュリティ意識を高く持つのは、一人一人が、自分はセキュリティ意識を高く持つべきであると、腑に落ちて理解してもらえたから。であるべきだと思います。

セキュリティ研修や標的型メール訓練を実施するのは、そのための施策の一環であり、毎年繰り返してそれらを実施することは、会社として、自社をセキュリティ意識の高い企業にするという強い決意を従業員に伝えるための手段となりうるものです。

継続して施策を実施することが何故大切なのでしょうか?

とはいえ、たった数回の結果だけを見て、目に見える効果がないとしてやめてしまい、次から次に違う方法を執ってばかりいたら、研修を受ける方も、会社側は何を考えているのかわからない。として、想いが伝わることはありません。

たとえ目先の効果が得られなかったとしても、その施策に確固たる意志や想いがあるのなら、ブレることなく、繰り返し繰り返し実施する。

そうすることによって、従業員の側には、何故その施策を実施し続けるのか?という疑問が生まれ、その疑問に対する回答として、会社側の意志・想いを伝えれば、従業員は「ああ、そうなのか」と腑に落ち、理解することへと繋がっていきます。

施策を継続する理由を理解したからといって、すぐに従業員が心変わりするというほど、世の中単純ではありませんが、石の上にも3年で、継続によって一人一人の考えが徐々に変わっていけば、組織全体として徐々に考え方が変わっていくことに繋がります。

すぐに結果が得られることを追い求めること自体は間違いではありませんが、時代は常に変わっていくもの。特に変遷が顕著と言われるITの世界においてはそのスピードは速く、研修で学んだことが、いつまでも通用するとは限りません。

しかし、意志や想いが明確に伝わってさえいれば、従業員はその意思や想いに基づいて行動をするようになります。この点がブレてさえいなければ、周りの状況が変わっていったとしても、状況に合わせて結果を出し続けることができるようになるはずです。

開封率が変わらないなら訓練を実施しても意味がない。として訓練の実施をやめてしまった、また、そのような話を耳にして、訓練なんてやっても意味がないのかな?とあなたがもし、思っていらっしゃるなら、会社側の意志や想いを従業員にきちんと伝えられているか?という観点で、今行っている施策を見つめなおしてみてください。

目先の効果を追い求めるのではなく、意志や想いを伝えるという観点で考えれば、着目すべきポイントは開封率ばかりではないということ、また、施策の在り方自体も、様々な形や、できる工夫があることが見えてくるはずです。

次のページへ

サブコンテンツ