標的型メール訓練では、情報セキュリティに関する知識不足から訓練メールに引っかかってしまうような人に注目が行きがちですが、実際のところ、これはとてもわかりやすいケース。

単に知識不足が原因であるなら、知識を身につけてもらえばそれで解決する話なので難しくありません。

厄介なのは、

セキュリティの大切さを理解している優等生

が訓練メールを開いてしまうようなケースです。

前回のニュースレターでは「訓練メールを開いてしまった部長の話」をご紹介しましたが、実は同じ訓練の中で、もう一つ注目すべきことが起きていました。それがこのケースです。

その訓練は期間を空けて連続して数回実施したのですが、その中に、全ての訓練で訓練メールを開いてしまっている人がいました。

さすがに全ての訓練で開封者としてリストアップされてしまっているので、どうしたって目立ちます。

このため、訓練実施担当者の間では、「この人ってどんな人なの?」ということが話題になりました。で、その人が過去に受けたセキュリティ研修の結果や、研修実施後のアンケートの回答などを確認してみると、

優等生のような点数や回答

だったんですね。

知識不足から訓練メールを開いてしまっているわけでも、また、件の部長のように、たまたま条件が揃ってしまったために、訓練メールを開いてしまった。というのともまた違います。

実はここに、訓練実施を考える上で考慮すべき、大事なポイントが隠れていたんです。

責任感と当事者意識

セキュリティ研修を実施すると、多くの従業員からは、

・セキュリティは大切だと実感できました。
・普段から気を付けるよう心がけます。
・これまで以上にセキュリティに関する意識が高まりました。

といった感想が聞かれます。これは言葉だけではなくて、嘘偽りなく、実際にそう思っていて、情報セキュリティについて学ぼうとする姿勢も真摯そのものだったりします。

仕事に対する責任感も人一倍あって、勤務態度もまじめそのもの。会社に対して貢献したいという気持ちも、もちろん持っています。

「責任感」ということなら、ほとんどの従業員はそれを持ち合わせているはずで、マルウェアが含まれる攻撃メールを「開いてしまっても構わない」などと思って仕事をしている。という人は、基本的にはいないはずです。

しかし、実際には攻撃メールに添付されているファイルを開いてマルウェアを実行してしまったり、メール本文中の怪しいリンクをクリックしてしまい、フィッシング詐欺の被害に遭ってしまったりということが起こります。

「メールの内容が巧妙で、怪しいとはまったく思えなかった」

といった類の言葉はよく耳にしますが、メールの内容が巧妙だったから怪しさに気づけず、被害に遭ってしまったのは仕方ない。というのは本当にそうでしょうか?

ここで提起したい事は、責任感と当事者意識は異なる。ということで、攻撃者の狙いから会社を守らなければならない。という課題に関して、「まさにその通りで、そうすべきだ。」という責任感は誰もが持ち合わせていても、それを自分事としてきちんと捉えられている従業員は果たしてどれくらいいるのか?ということです。

セキュリティ対策はセキュリティ担当の仕事と思わせていないか?

本人の当事者意識が薄いことを示す一例としてありがちなのは、

「マルウェアなんて社内システムが検知してくれていると思っていました」

という言葉でしょう。セキュリティ対策には高度な専門性が求められるという事から、セキュリティは難しい、イコール、専門知識を持たない私たちには立ち入れない分野。という意識が芽生えがちです。

自分達には立ち入れない分野という意識があり、また、社内におけるセキュリティ対策は全て外注業者に任せきりだったり、専任の担当部署が担当しているということであったりすると、セキュリティ担当でない人にとっては、セキュリティ対策に関する実務は自分には関係のない仕事。といった意識が生まれ、セキュリティ対策に関わるという点では、当事者意識は必然的に薄れていくことになります。

社内のセキュリティ担当が責任感を持って、一生懸命に対策を打てば打つほど、社内には「専任者がしっかりやってくれている」という意識が浸透します。これはこれで良い事なのですが、反面、

専任者がやってくれているのだから大丈夫でしょ。

と、どこか他人事のような意識も芽生えさせてしまうという危険性も孕んでいます。

標的型メール訓練も、特定の部署が企画して実施するものであるので、従業員からすると受け身となり、やらされ感を感じたり、どこか他人事のような目で感想を述べたりといったことが起こりがちです。

セキュリティリテラシーが低い人を洗い出し、社内全体のリテラシーの底上げを図ることはとても重要なことですが、どんなに知識を持っていても、自分事として捉えてもらえなければ危機感は欠如し、被害に遭う下地を生み出してしまいます。

知識や責任感は既にある。という従業員に、どれだけ当事者意識を持ってもらえるか?
そのために、セキュリティ研修や標的型メール訓練では何をすべきか?

こういった観点でも、研修や訓練の内容について吟味頂けると、より充実した研修や訓練が実施頂けるのではないでしょうか。