ひと昔前と違い、標的型メール訓練がコモディティ化した今では、模擬の標的型メールにどれくらいの従業員が騙されてしまったか?から発展して、

怪しいメールを受け取ったら、上長等に速やかに報告ができるかどうか?

といった対処を従業員が取れるかどうか?の方に、重きを置く組織が多くなってきたように思います。

しかし、実際に訓練をやってみればすぐにわかることですが、届いたメールが訓練メールだとわかっていながら、それでも上長に「怪しいメールが届いた」と報告するのは、ぶっちゃけ、

とっても違和感を感じませんか?

不審なメールを受信したら上長等にエスカレーション(報告)し、社内に周知を図ることで、他の従業員がうっかり不審なメールに引っかかってしまう可能性を減らすことができる。というのは確かにその通りだと思います。

それ故に、本物の攻撃メールが届いた場合でもしっかり対応が取れるかどうか、標的型メール訓練を通じて確認するというのは、至極まっとうな流れだとは思います。

しかし、実害がないってわかっているのに、「怪しいメールが来ました!」って報告するのって何だか変な感じですよね。

それに、実際の業務の場においても、不審なメールが届いたからといって、都度、上長等に報告する事が徹底されている組織って、あまり耳にしたことがありません。

不審なメールが届いたら速やかに上長等に報告する。

この、一見、スタンダードと思える対応はあるべき姿なのか?今回はこの点について、掘り下げてみたいと思います。

もし、不審なメールがやたらと届くような状況だったら?

怪しいメールを受け取ったら上長等に報告する。この作業自体はそう難しいものではないですよね。

社内の誰かが不審なメールに気づいた時点でアラートを上げ、社内全体に注意を喚起する。この業務フローによって、マルウェアへの感染リスクの低減を図るというのは、至極妥当なアプローチだと思います。

しかし、不審なメールがやたらと届くような状況だったらどうでしょうか?

たまに不審なメールが届く程度ならともかく、1日に何通も届くような状況では、都度、上司に報告を上げるという業務フローは、おそらく形骸化してしまうはずです。

うっかり添付ファイルを開いてしまい、マルウェアに感染してしまったかもしれない。というのならばともかく、誰もが一目見ただけで、これは不審なメールだとわかるようなものまでいちいち報告を上げていたら、報告をする方も受ける方も、また、報告を受けて、その後の対応を行う方までもが、その対応のために取られてしまう時間と手間に疲れてしまい、長続きしないであろうことは容易に想像できます。

訓練でアラートが上がれば開封率は当然下がる

不審なメールに気づいたら上長等に報告する(アラートを上げる)。これを標的型メール訓練においても実施することを徹底すれば、訓練メールを受け取った人から順に、社内でアラートが上がり始めることになりますから、訓練メールを受け取るタイミングが後の方になる人ほど、このアラートを知る確率が高くなります。

届いたメールが不審なメールだと知っていれば当然、開いたりしないわけですから、結果として、訓練実施における開封率は下がることになります。

そうなると、何も知らなければ不審なメールだとは気づかないような人、本来であれば、訓練メールに騙されてしまって、この機会に標的型メールについてしっかり学んでもらいたい。という人も、訓練メールをスルーしてしまうことが考えられます。

そのようなことから、訓練の際に従業員からアラートが上がってきた時は、

「これ、訓練だから大きな声出さないでね」とか、
「それ、訓練だから、みんなには内緒ね」なんて言って対応することが多くありました。

実際、似たような事をされている組織も多いのではないでしょうか。

無視すればいいだけの迷惑メールについてアラートを上げる事の違和感

ひと口に攻撃メールと言っても、単純なスパムメールから、本当に自社をターゲットとした高度な攻撃メールまで、その内容やレベルは実に幅広いものです。

従業員の側からすれば、不審なメールがただのスパムメールか、高度な標的型メールかなんて、よほど技術に詳しくない限りはわかりませんから、マルウェアへの感染リスクの低減を図るという観点から考えると、不審なメールに気づいたら、それがただのスパムメールだろうと何だろうと、報告を上げてもらうべきだ。という判断は当然あるかと思います。

しかし、ある程度技術について分かっている従業員からすると、「これ、明らかにスパムメールだろ」とわかるようなメールまで、気付いたらいちいち報告をしなければならないというのは面倒であるし、また、バカバカしいと思う人は少なくないのではないでしょうか。

また、効率やコストを考えて仕事をするような人からすれば、みんな無視すればそれで済むようなスパムメールにまで敏感に対応するなんて、実に非効率だ。と思うかもしれません。

こうした違和感から、不審なメールに気づいたら報告を上げてもらうようにする社内ルールを定めていたとしても、実際には無視をして報告を上げない。というアクションを取る従業員が出てくるケースは少なくないのではないかと思います。

今の訓練のやり方が本当に正しいのか?訓練実施担当者は常に疑問を持つべき

不審なメールを受け取ったら上長等に報告し、不審なメールが届いていることについて社内にアラートを上げる。

この対応が間違っているとは言いません。マルウェアへの感染リスクの低減を図るという目的からすれば、一定の効果は見込めることは考えられるわけですから、この対応を社内で徹底するようにするべきか?ということについては、賛否両論あると思います。

しかし、最近の標的型メール訓練で増えつつある、「不審なメールが届いたことに気づいたら、上長等に報告を上げるというアクションを従業員が取れるかどうかを確かめる」ということに、何の疑問も抱かず、

他の会社もそうしているから」とか、「訓練実施代行会社の担当者からそうアドバイスされたから」とかいった理由で、自社の訓練でもそうしているのだとしたら、そこは一旦立ち止まって、本当にそれが正しい事なのかどうか?ということは考えてみるべきではないかと思います。

あなたの会社では、訓練の内容ややり方に何の疑問も差し挟まず、盲目的に訓練を実施しているということはないと思いますが、もし、実施している訓練に対して、誰も何の疑問も持たないようになってしまうような状況に周囲がなりかけたら、今回の話を思い出して頂いて、今の訓練のやり方が本当に正しいのか?という一石を投じて頂くと、「訓練のあるべき姿」について、社内での議論が進むきっかけとなるのではないでしょうか。