標的型メール訓練実施にまつわる誤解

標的型メール訓練についての誤解

標的型メール訓練は最近になって登場した新しい概念ではありません。それゆえに、世の中には様々な文献や経験談などの情報が存在します。その中には、標的型メール訓練など意味がない。といった主旨の記述や、実施の効果に懐疑的な意見なども見受けられます。

実際、訓練を実施した企業の中には、最初のうちは効果こそ認められたものの、2回目・3回目と繰り返すうちに、目立った効果も認められなくなり、役員に対して費用対効果が説明できないとして、実施をやめてしまった企業もあると聞きます。

このような経験から、標的型メール訓練なんてやっても意味ないよ。と考えるセキュリティ担当者の方もいらっしゃるかもしれません。

しかし、これは、標的型メール訓練にまつわる誤解のひとつです。

ゴール設定の間違いは、間違った判断を生んでしまいます

標的型メール訓練の実施が意味がないと考える方が根拠としている理由の多くは、訓練を実施しても標的型メールによる被害を100%防ぐことなどできないじゃないか。というものでしょう。

被害を100%防げないのなら、被害に遭ってしまうという点では、やってもやらなくても結果は同じ。だったら、費用や手間をかけたところで無駄なだけなのだから、訓練実施など全く無意味。そんなことに時間やコストをかけるくらいなら、システム対策にかける方がよっぽどマシ。と考えるのは、至極妥当な考え方といえます。

しかしここで、訓練実施の目的を変えると、全く違った判断が生まれます。

例えば、標的型メール訓練の実施が、標的型メールによる被害を100%防ぐことが目的ではなく、標的型メールについて理解できていない人が社内に存在するかどうかを確認することが目的であったり、標的型メールが送られてきたとわかった後の対処フローが滞りなく実施できるかどうかを確認するといったことが目的であったらどうでしょうか?

被害を100%防ぐことが目的ではなく、被害を最小にする、また、被害が発生する可能性を少しでも減らすことが目的であったら、結果を測定する方法も異なってきますし、結果の良し悪しを判断する指標も異なってきます。

標的型メール訓練の実施は、直感的には、標的型メールによる被害を100%防ぐための対策のように思えますが、それはゴール設定としては正しくありません。

地震や火災から身を守るための避難訓練は、地震や火災による被害を100%防ぐために行うものでしょうか?と問われれば、そうであると答える方は恐らく皆無でしょう。避難訓練を実施したところで、実際に地震や火災が発生したら、被害を100%防ぐということは難しく、大なり小なり被害が発生しうるものだからです。

それでも避難訓練を実施するのは、万一の際に被害を最小に留めるためであり、また、イザという時に慌てずに対処できるようにするためです。避難訓練を実施しておくことによって、失わずに済む命があるなら、それに越したことはありません。

標的型メール訓練の実施はこれと同じで、被害を100%防げないなら意味がないと考えるのは、地震や火災による被害を100%防げないなら避難訓練など無意味である。と考えるのと同じことです。

何事もゴール設定を間違えてしまうと、判断の過程自体は論理的には正しくても、結果としては間違った判断をしてしまうことになります。

標的型メール訓練実施のゴールは一つではありません

標的型メール訓練実施によって得られる結果は一つではありません。実施の考え方や方法によって、得られる結果は変わってきます。つまり、ゴールは一つではない。ということです。

目標とすべきゴールは、訓練を実施する組織にとって、今、何を優先とすべきか?また、何が必要であるか?によって全く違ってきます。セキュリティに全く無関心な社員ばかりの組織と、セキュリティに関する知識・意識が高い社員ばかりの組織では、設定するゴールも、訓練の実施内容も全く違ったものになるのは当然のことです。

自社とは全く状況が異なる組織の例を参考に、自社での標的型メール訓練実施は効果があるかどうかを推し測ったところで、前提が全く違うのですから、正しい判断が得られるわけがありません。

また、前提が全く異なる組織の事例をそのまま真似ても、適切な結果が得られるとは限らないでしょう。

標的型メール訓練の実施によって、次に繋がる結果を得られるかどうかは、すべてゴールの設定次第であり、ゴール設定が正しく、また、そのゴールに向けてどのように進んでいくか?の方法の選択が適切であれば、実施は無駄であった。という結果となることはないはずです。

あなたがもし、標的型メール訓練の実施など無駄以外の何物でもないといった考えをお持ちであるか、また、そうした話を耳にして、やるべきかどうか迷っているなら、この機に、あなたの組織における、目指すべきゴールとは何か?について、一考してみていただければと思います。

次のページへ

間違いだらけの標的型メール訓練、こんな訓練はしてはいけない!

よくある、間違いだらけのナントカ。今回はそんなタイトルを真似てみましたが、過去に間違ったやり方で訓練を実施したり、また、間違った訓練の事例を見られて、標的型メール訓練なんて、やってもしょうがないんじゃないの?とか、本当にやった方がいいのかなあ?と懐疑的に思っていらっしゃる方は結構いらっしゃるかもしれません。

もしあなたがそう思っていらっしゃるなら、是非、この記事を読んでいただきたいと思います。

開かれないメールを送る訓練に何の意味があるの?という思い違い

一見すると・・・標的型メール訓練に関してたまに耳にする指摘に、「模擬のメールなんて送ったところで誰も開いたりしない。誰も開かないんじゃ訓練として成立しないんだから、やってもしょうがないでしょ。」というような主旨の指摘があります。

確かに、誰もがメールを無視して開いてくれないのでは、折角訓練を実施しても空振りで、何の結果も得られず、全てが無駄になってしまうという絵が思い浮かびます。

非常にもっともな指摘であるように聞こえるので、このような話を聞くと、やっぱり訓練なんてやってもしょうが無いんだ。と思ってしまいがちですが、このような指摘については、以下の観点がすっぽり抜け落ちてしまっています。

  1. メールが開かれない理由を掘り下げて考えていない。
  2. 訓練メールなんて誰も開かない。というのは単なる思い込みに過ぎません。たどたどしい日本語で書かれた文面なら開かないかもしれませんが、そうでない文面となれば、話も違ってきます。

    開くにしても、開かないにしても、人が行動を起こす裏には必ず理由があります。その行動を科学することこそ、有効な対策を見つけ出し、防御力を強化することに繋がります。標的型メールイコール、怪しい文書のメールなどといった固定観念を持ってはいけません。

  3. メールが開かれなければ訓練として成立しないというのは思い込みでしかない
  4. 標的型メール訓練は、模擬の標的型メールが開かれる事で初めて成立するというものではありません。標的型メールが送られてきたら、どのように対処するのか?ということ自体も、訓練実施の目的の一つとなり得るものです。

    また、標的型メールを目にして、各従業員がどのような反応をするのか?を確認することも、組織のセキュリティ意識レベルを把握するには貴重な情報となり得るものです。

    開くにせよ開かないにせよ、訓練実施が無駄になるかどうかは、目的の据え方次第であり、また、訓練実施をどのように計画するか次第で決まってくるものです。この点を考えずして、訓練の成否を語るのは間違いです。

開封率で訓練の成否を考えることの間違い

開封率が全てではない「開封率」は標的型メール訓練を実施する上で欠かせない指標ですが、誰にでもわかりやすいデータであるがために、開封率という言葉だけが一人歩きしてしまっているような感があります。

従業員研修実施前と後で開封率を測定し、研修後は開封率が下がったので研修の効果がありました。というシナリオはとてもわかりやすいですが、これが例えば、全く同じ内容の模擬メールを送付して測定した結果であるなら、開封率が下がるのは当たり前の結果で、これをもって研修の効果があったとするのは少々乱暴な話であるのは、誰の目にも明らかでしょう。

このように、開封率は訓練実施の前提によって結果が大きく変わるデータであるにもかかわらず、開封率の高低で訓練の成否を判断するというのは、全くもってナンセンスな話です。

ましてや、開封率が低い方が優れているなどという評価など持ち込もうものなら、訓練が終わるまではファイルはメールでやりとりするな。などといった回避策が現場で取られるなどして、本末転倒な事が起きたりします。

このようなことが起きる訓練は、もはや実施計画の立案時点から間違えていると言わざるを得ません。

添付ファイルを開かなければそれで良しと考えることの間違い

大切なのは本質訓練は標的型メールの被害に遭わないようにすることを目的とするがために、いきおい、添付ファイルさえ開かなければいいんでしょ。といった話になりがちですが、それはあくまで結果であって、本質ではありません。

添付ファイルを開かないことが良いことなのではなくて、開いてはいけないファイルであると的確に判断できるからこそ、開かないという結果になるわけで、添付ファイルさえ開かなければいいというのなら、正常なファイルも含めて、全ての添付ファイルを開くべきでないということになり、これでは業務に支障が出るであろう事は容易に想像が付きます。

この本質を正しく捉え、本当の意味で従業員に正しい理解を伝えようとしたら、添付ファイルを開いてしまったかどうかを測定するだけの訓練は、折角の機会を活かし切れていないということになります。

単純だけれど、実は奥が深い標的型メール訓練

標的型メール訓練は、実施する内容こそ、模擬の標的型メールを作成して従業員に配布する。という単純なものですが、目的や実施内容によって、得られる結果や効果は様々なものになります。

また、実際の標的型攻撃は単純なものではなく、様々な手口が組み合わされて行われることも考慮すれば、標的型メール訓練は総合的な演習の中の一つとして実施する形態も考えられます。

このようにして考えていくと、標的型メール訓練は実は奥が深いものであり、開封率を測定するだけの標的型メール訓練をもって、訓練実施の是非を考えることは、間違っていると言えます。

どうでしょうか?以上の事柄を読まれて、思い当たるような事柄はあったでしょうか?

上記のような観点を持って、自前で訓練実施に望むことは、あなた自身も含めて、きっと大きな成長に繋がるものと思いますが、訓練実施を自前で行うのではなく、あえて業者に委託する道を選択されるのでしたら、上記のような観点で業者の選定をされると良いと思います。

たとえ辛口でも、腑に落ちる指摘をしてくれる業者なら、安心して任せることができるのではないでしょうか。

サブコンテンツ