4月と言えば新しい社員が入社する時期ですが、学生時代はスマホが生活の中心だった若者も、会社に入ればノートPCなどが与えられ、PCを使ってメールを送受信することが多くなります。
PCとスマホでは当然、勝手が違いますので、PCを対象とした攻撃に関する知識をきちんと持ち合わせていないと、攻撃者の罠にまんまと引っかかってしまうかもしれません。
実際、標的型攻撃メール訓練を実施すると、社歴の長い社員よりも、入社して数ヶ月と日の浅い社員のほうが何倍も多く訓練メールに騙されてしまったといった結果をよく目にします。
PCを対象とした攻撃について学ぶ機会がなかった新社会人が訓練メールに騙されてしまいやすいというのは考えてみれば当然で、やはり、知っているかいないかというのは、とても重要なことです。
新社会人に限らず、中途入社の方でも、入社したばかりでは会社の作法を知らないが故に、既存の社員の目から見れば明らかに不審だと思えるようなメールであっても、
「そういうものだと思った」
として、不審だとは思わずにすんなり開いてしまい、被害に遭ってしまうといったことが起こりがちです。
こうした事故を未然に防ぐには、やはり知ってもらうということが何よりも重要で、入社時にはきちんとセキュリティ教育を行い、教育した内容がきちんと身についているかどうか、訓練や理解度テストなどを通じて確認することがやはり必要なのだと思います。
標的型攻撃メール訓練というと、予算や人手など関係から、年に1回もしくは2回の実施という企業は多いかと思いますが、新しく入社される方が一番、人としての脆弱性度が高いと考えると、入社時のタイミングでしっかり知識を身につけてもらうことが望ましいので、こうしたタイミングで訓練などを実施することを年間の計画の中に組み入れることを是非検討いただけたらと思います。
訓練実施というと、業者に委託するか、自社で内製するかの二者択一と考えてしまいがちですが、全社員を対象とした年1回の訓練は業者に委託、新入社員を対象とした訓練は内製で実施というような使い分けも有りだと思います。
IT系の会社なら、新入社員自身に、訓練実施の計画と実行を新人研修の一環として実行してもらっても良いかもしれませんね。
何でもかんでも業者に委託していては自社にノウハウは溜まりませんし、スキルのある社員も育ちません。業者と対等に渡り合えるようになるためにも、ある程度は自ら手を動かすことを強くおすすめします。
