Case02 攻撃メールの手口を変えて訓練を実施したい

御社の従業員は、攻撃の手口が変わったら簡単に騙されてしまう。ということはありませんか?

ウィルスメールを送り付けてくる犯罪者は警察に捕まってしまうリスクを承知の上で、あえてメールを送っているので、リスクに見合うリターンを本気で求めています。

相手を騙すために、本気であの手この手を考えてメールを送ってくるので、これまでも様々な手口が使われていますし、今後も更に様々な手口が生み出されるであろうことは想像に難くありません。

にもかかわらず、こうしたメールを受け取る従業員の側はというと、研修で見た攻撃メールのサンプルが開いてはいけないメールなんだと額面通りの理解をし、研修で見たメールと同じものなら開いたりはしないが、少しでも違ったものになると、攻撃メールだとも思わずに開いてしまう。といった、笑えない話があります。

本質を理解してさえいれば、このようなことにはならないはずですが、情報セキュリティに関する学習はオンライン研修などの座学にとどまり、本質の理解については個々人に委ねられている状況では、言われたことを、言われたとおりにしかやらない・できない、という人が出てきたとしてもおかしくはありません。

実際に試してみることでわかることがあります

従業員が情報セキュリティに関して正しい知識を習得し、日常業務の中できちんと役立てているかどうかは、実際に試してみることでわかります。

社内で情報セキュリティ研修を実施し、理解度測定やアンケートを行うと、「役に立った」「知識が深まった」といった回答が得られることが多いですが、実際にはわかった気になっているだけだったり、周囲の目を気にして表面上わかったふりをしているだけだったりする。ということは往々にしてあるものです。

世の中、見ると聞くでは大違い。であるように、研修で目にした攻撃メールのサンプルとは違うものを目にすることがあっても、攻撃メールであることを見破り、きちんと対処ができるまでに本質を理解できているか?というと、また別の話です。

情報セキュリティに関しては、単に知っているというだけではダメで、実際にその脅威から身を守ることができなければ何の意味もありません。だから、実際に「訓練」という形で実践し、正しい知識がきちんと身についているかどうか?また、研修で学習した内容を応用して、これまで目にしたことのない攻撃メールが送られてくるようなことがあっても、きちんと見分けることができるかどうか?を確認する事は、とても大切なこと。と言えるのではないでしょうか?

攻撃メール訓練は繰り返して実施することでより効果を発揮します

模擬の攻撃メール(ウィルスメール)を使い、従業員が攻撃メールを受信しても、そのようなメールに騙されてしまうことなく、適切な対処が取れるかどうかを確かめる「攻撃メール訓練」は、実施しないよりも実施した方が、更には、年に1度ではなく、手を変え品を変えて、何度も繰り返して実施した方が従業員の経験値も上がり、応用力も自然と身についていく。という効果が期待できます。

しかし、1回の訓練実施に何十万円~何百万円もの費用がかかる「業者に訓練実施を委託する方式」では、年に1度か2度実施するのがせいぜいで、手を変え品を変えての実施など、そうそう行えるものではないでしょう。

そこで、コストのかからない自社内製での実施という選択肢が、俄然、注目を集めることとなるわけです。

自社内製での実施であれば、攻撃メールの手口は自由に変えることができますし、実施回数も自由に決めることができます。何よりコストがかからないわけですから、毎月繰り返して訓練を実施する。というようなことも、もちろん可能ということになります。自社でやりたいように訓練が実施できるというのは、まさに自社内製ならではのメリットです。

キットは自社内製での訓練実施を支援する有効なツールです

「標的型攻撃メール対応訓練実施キット」は、業者並み、もしくはそれ以上の訓練を自社内製で実施することを支援するために生まれた商品です。それも、実際に自社内製で訓練を実施してきた大手企業の現場から出されるニーズに応えるために、今も改善を重ね続けている商品です。

実際に訓練を実施している現場の担当者が「欲しい」と思うものが具現化されているものなので、初めて訓練を実施される企業様にとってはもちろんのことですが、既に自社内製で訓練を実施しているものの、特定の技術者による属人頼りの仕組みだったり、実施準備などに手間がかかるような仕組みを使っていらっしゃる企業様であれば、キットの活用は、効率的でコストエフェクティブな自社内製での訓練の実現に大いに役立つことと思います。

キットを使って実施できる攻撃メール訓練の種類は、exe実行ファイル添付型、Word文書ファイル添付型、URLリンククリック型など、実際に流通している攻撃メールの手口を網羅しており、訓練で使用するメール本文の内容も、あらかじめ決められたものしか使えない。というようなものではないので、使う方のアイデア次第で、無数ともいえる攻撃メールのパターンを再現することが可能です。