標的型メール訓練というと、全ての従業員を対象に一斉に訓練メールを送り、開封率を測定する。というやり方が一般的かと思います。
しかし、全従業員を対象に訓練メールを送る場合、
月末・月初、年度末など、繁忙期に訓練を実施すると、そんな時期に訓練なんかやってくれるな!と、社内からマジ切れのクレームが寄せられたりします。
そんなこともあって、繁忙期を外して訓練を実施されているケースは多いと思います。
でも犯罪者は、あなたの会社が多忙かどうかなんて一切気にしない。というかむしろ、多忙な時ほど狙い目!とばかりに攻撃を仕掛けてきますよね。
あちらは容赦なく攻撃を仕掛けてくるのに、こちらは現場に遠慮をしながら訓練を実施しなければならない。
これって、守る側のこちらとしてはとても不利ですよね?
とはいえ、現場に配慮もせず、一方的に訓練を実施したのでは現場から総スカンを食ってしまい、理解も協力も得られなくなる。そのようなことになってしまっては、折角の訓練も台無しです。
そこでお奨めしたいのが、従業員全員に一斉に訓練メールを送るのではなく、数名の従業員だけを対象に訓練メールを送るといった、
ピンポイントで訓練メールの送信を行う形式の訓練です。
ごく一部の従業員を対象とする形式なら、全員を対象に訓練を実施するよりは混乱が少なく、「標的型メール」という意味で、より実戦的と言えます。そして、より実戦的であるからこそ、できる事があります。
実際の攻撃ではピンポイント狙いもありうる
全従業員を対象に訓練メールを送信する方法では、いわゆる「ばらまき型」と呼ばれる形式でメールが送られることになります。
これはこれで実際の攻撃でもありえますが、すぐさま情報が共有されやすい職場においては、訓練メールが来たことが共有されやすく、最初に訓練メールを受け取ることになる従業員はともかく、後から訓練メールを受け取ることになる従業員は、送られてきたメールが訓練メールであることを既に知っていることも少なくないので、開封率を測定するという目的からすると、ちょっと残念なことになります。
今もあるのかどうかはわかりませんが、開封率を上げたくない現場の上司が、訓練メールが送られてきていることを従業員に知らせる。なんていう滑稽なシーンを引き合いに、標的型メール訓練なんて、やったところで意味はない。というのも、以前はよく言われたものです。
業者に訓練実施を委託すると、それなりに費用もかかるため、回数もそう多くは実施できないということから、全従業員を対象とした訓練となりがちですが、実際の攻撃では、攻撃していることがバレやすい「ばらまき型」よりも、特定の従業員を狙い、ピンポイントで攻撃を仕掛けてくる形式の方が成功率が高いのが実際です。
なので、ばらまき型の訓練を実施することにより、全従業員に標的型メールについて知ってもらい、注意喚起を図る。というのも大切な事ですが、より実際の攻撃に即して、ピンポイントで攻撃を仕掛ける形式で訓練を実施することも、訓練の質を高めるという点では、必要な事ではないかと考えます。
ピンポイントでの訓練実施ならば混乱は少ない
全従業員を対象に訓練メールを送る形式だと、訓練メールが現場のあちこちで開かれることで、上司が部下から寄せられる報告や問い合わせへの対応に追われてしまい、通常の業務に対応ができなくなって、業務に支障をきたしてしまう。ということが起こりがちです。
しかし、ピンポイントでの訓練メール送信ならば、そうしたことは起こりにくく、また、実際にピンポイントで攻撃メールが送られてくる場合と変わらないので、現実と変わらないということであれば、「訓練なんて面倒」という現場の本音は有るとしても、理解は比較的得られやすいと言えます。
ピンポイントでの送信だからこそできることがある
全従業員を対象にした訓練ではできないことも、ピンポイントでの送信ならばできる事があります。例えば、
繁忙期に標的型メールが送られてきたら被害に遭ってしまいやすいのかどうか?
なんていう検証は、全従業員を対象とした訓練ではなかなかできる事ではありません。皆忙しい時に、日常の業務とは直接関係が無い訓練に参加を強制されることは、従業員の不平・不満につながりやすいからです。
もちろん、ピンポイントの訓練メール送信であっても、その対象に選ばれてしまう従業員からすれば、「この忙しい時に」という不満はあるでしょうが、訓練実施の主旨をきちんと説明すれば、大概はわかってくれるものです。
ピンポイントで訓練メールを送信する形式ならば、時期に関係なく訓練が実施しやすく、また、ターゲットに合わせた内容の訓練メールとすることもできます。
個別のターゲットに合わせた内容の訓練メールとするなら、仮説検証もやり易くなるので、自社のセキュリティ対策方針を考える上でも、こうした訓練から得られる知見はとても貴重なのではないかと思います。
全社対象の訓練とピンポイントでの訓練を織り交ぜる
標的型メール訓練は、全従業員を対象に実施するか、それとも、ピンポイントで実施するかの二者択一ではありません。
もちろん、実施のための稼働やコストの都合などから、どこまでできるか?ということは有るかとは思いますが、理想を言えば、
1.従業員への注意喚起や、セキュリティに対する意識向上を図るための全社対象の訓練
2.仮説検証を目的に、また、より実戦的な内容で対応力の向上を図る、ピンポイントでの訓練
を年間を通して織り交ぜ、PDCAサイクルを回していく。ということができればよりベターかと思います。
予算に余裕があるなら、大きなイベントとなる全社的な訓練の実施は業者に任せ、ピンポイントでのごく小規模な訓練は自社内製で実施する。というやり方もあると思います。
いずれにせよ、標的型メール訓練は「こうでなければならない」という思い込みはせずに、柔軟に考えて様々な方法を組み合わせて実施すると、より充実した結果を得ることに繋がることと思います。
