標的型メールは見抜くことが難しい。は誤りです

第5話 訓練実施の方法を決めよう

訓練実施の実行委員会も立ち上げ、準備を進める体制が整ったら、いよいよ実施に向けた具体的な準備を進めていくことになります。そこでまず決めなければならないことは、訓練実施の方法です。

決めた目的を達成するのに最もふさわしい方法として、どのような方法で訓練を実施するか?当然、時間と予算の制約も出てきますので、ここはしっかりと考える必要があります。

今一度、訓練の位置づけを考える

訓練の目的を設定し、実行委員会も立ち上げることができれば、実際にどのような訓練を実施するか、大体のイメージはできているかと思いますが、そのまま突き進む前に、今一度、訓練の位置づけを考えることをお薦めします。その理由は、思い込みを排除するためです。

今時、標的型攻撃について知らない従業員はいないだろうと考え、高度なレベルの訓練を実施したら、内容を理解できる人が少なかった。とか、逆に、知らない人が多いと考え、ゼロから説明するような内容を提供したら、却って、しらけた反応になってしまった。というのでは、折角訓練をしても徒労に終わってしまいます。

訓練を実施するなら、今のセキュリティ意識レベルがどのレベルにあるのか?を考え、そのレベルに合った訓練を実施することが望ましいと言えます。

従業員のセキュリティ知識や意識レベルがどの程度であるかわからない。というのであれば、まずはそのレベルを探ることから始めるべきです。

システム系の部門はレベルが高そうだが、営業系はそう高くないかもしれない。といったことが予想されるのであれば、全社一斉に訓練を実施するのでは無しに、部門別に実施するという方法になるかもしれません。また、訓練実施前に理解度測定テストを実施し、その結果を基に訓練実施の方法を考えた方がよさそうだ。ということもあるかもしれません。

訓練実施の方法を考えるに当たっては、XX事業部の△△さんにこんな訓練メールを送ったらどのような反応をするだろうか?というように、訓練を実施した際の各従業員の反応をより具体的に予想し、その反応が期待する結果に繋がるものとなる方法を考えるようにすると、よりイメージが湧きやすいかと思います。

このような話を各部のメンバーと意見交換することで、自然と思い込みが排除されるので、このような点でも、実行委員会を立ち上げることはメリットがあります。

公開型とするか?クローズ型とするか?

訓練実施に際して大きく意見が分かれるのは、訓練を実施することを訓練対象者にアナウンスしてから実施するのか、それとも、抜き打ちで訓練を実施するのか?ということでしょう。

従業員のセキュリティレベルがどの程度であるのかを確認したいという事が目的であれば、抜き打ちで訓練を実施するという選択はあります。しかし、これまで訓練を実施したことがない組織であれば、抜き打ちで訓練を実施することはお薦めできません。何故なら、抜き打ちで訓練を実施することで、「会社は自分を信用していない」という思いを抱かせてしまう危険性があるからです。

会社が従業員を試す。というような行為はやはり厳に慎むべきです。もし、抜き打ちで訓練を実施するのであれば、事前に予告を行い、騙すか?騙されるか?といったように、ゲーム感覚で実施するのが良いと思います。このようなやり方なら、反感を買うことようなことは避けられるはずです。

公開型とした場合は、訓練を実施してもそれとわかってしまうので効果は無いのでは?と思うかもしれませんが、それはやり方次第です。あまり深く考えず、明らかにそれとわかるような訓練メールを送ったりすれば、当然、効果は薄くなってしまうでしょう。しかし、やり方を工夫し、アイデアを凝らせば、訓練とわかっていても効果が得られるという方法はあるものです。

企画段階で脳みそに汗をかかせる。デザイナーやコピーライター、企画担当者は日常的にやっていることですが、セキュリティ担当者もここは大いに脳みそに汗をかかせるべきです。企画を考えるのはしんどいですが、実施準備段階では、ここが最も面白いところでもあります。

次のページへ

 

←前の記事へ(
→次の記事へ(
サブコンテンツ