標的型メール訓練といえば「開封率」。という言葉が真っ先に思い浮かぶくらい、「開封率」は標的型メール訓練において重要なキーワードです。
ちなみに「開封率」とは、
送付した訓練メールのうち、何パーセントの人が、
訓練メールに添付した模擬のマルウェアファイルを開いたり、
訓練メール本文中のURLをクリックしたりしたか?を表す数値
のことです。そんなこと今更言われなくても知ってるよ。という言葉も聞こえてきそうですが、
開封率を0%にするなんて無理。
この言葉を盲目的に信じてしまっていたりしませんか?
標的型メール訓練が日本で実施されだした当初は、開封率を0%にするには?なんてことも言われたりしましたが、実際に実施してみると、訓練を何度繰り返しても開封率を0にすることはできないことから、開封率を0%にするなんて不可能。と言われるようになりました。
今では「開封率を0%にすることはできない」が一般的に認知されていますが、本当に開封率を0%にすることはできないのでしょうか?
また、開封率を0%にできないのなら、訓練なんてやっても意味がない。ということもよく言われますが、本当に意味が無いのでしょうか?
開封率、されど開封率。
誰もが知っているキーワードだからこそ、今回は改めて「開封率」について書いてみました。
開封率を0%にはできない!は本当?
標的型メール訓練を何度も実施されているなら、何度訓練を実施しても、開封率が下がることはあっても、0%になることはない。と実感されているのではないかと思います。
それ故に、開封率を0%にすることなんてできない。と言われると「ああ、そうか」と納得してしまいがちですが、開封率を0%にすることはできるのかどうか?を考える前に、そもそも、開封率が0%になるというのはどういう状況か?を考える必要があります。
標的型メール訓練においては、添付ファイルを開く、もしくは、訓練メール本文中のURLリンクをクリックしたら、「開封した」とカウントされるのが一般的です。
訓練実施担当者によっては、開封してしまうこと自体が、マルウェアに感染してしまう事とイコールと考え、「開封した人イコール、教育が必要な人」と考える方もいらっしゃるのですが、犯罪者が繰り出してくる攻撃手法は一つではないので、メールの内容によっては、開封しないと、それが悪意のあるものなのかどうかわからない。というものもあります。
例えば、DNSキャッシュポイズニングの手法と組み合わせ、メール本文中のリンクには、見知らぬドメイン名ではなく、信頼のおけるドメイン名を使ったURLが使われていたとしたらどうでしょうか?
また、添付ファイルの拡張子が「.xls」や「.doc」で、同僚や取引先から送られてきた、普段やり取りしているメールとほとんど見分けがつかないような内容のメールだったとしたらどうでしょうか?
犯罪者が繰り出してくるメールの中には、本文や添付ファイルを見ても、それが怪しいものなのかどうか判別がつかないものもあります。そうしたケースにおいては、「開くな」という方が無理。というものでしょう。
しかし、全てのメールがそうかというと、必ずしもそうではありません。世の中には非常に多くの犯罪者がいるので、送ってくるメールのレベルは玉石混交です。高度な物もあれば、一目で見て怪しいとわかるものもあります。
誰もが一目で見て怪しいとわかるようなメールを開いてしまうようなら、それは間違いなく問題です。こうしたメールを使った訓練でも開封率が0%にならないような組織はやはりマズイと思います。
開封率が0%にできない。というのは、高度なレベルの訓練メールを使えばそれは真実ですが、低レベルな訓練メールを使う場合は、開封率を0%にできないことのほうが問題。と考えるべきです。
この点を考えずに、開封率は0%にすることはできないものだ。と一律に思ってしまうのは間違いです。
開封率の平均値ってどれくらい?
開封率の話をすると、業界の平均値は?みたいな話をされることがあります。
担当者からすると、他の会社と比べて自社はどうなんだろう?ということは気になるところですが、標的型メール訓練における「開封率の平均値」なんていうものは実際には存在しません。
そういう値を出している業者もありますが、そもそも、平均値を出すためには、全ての被験者に対する測定の条件を同一にする必要があります。しかし、標的型メール訓練においては、
・実施時期がバラバラ
・訓練実施対象者数もバラバラ
・訓練メールの内容もレベルもバラバラ
・被験者の知識レベル(リテラシー)もバラバラ
という状況です。様々な要素がバラバラなのに、取得できた開封率だけを集めて平均値を出したところで、その数値には何の意味もありません。
例えば、誰もが一目で見て怪しいとわかるメールであれば、開封率は低くなります。これを業界平均値と比べて低いからと言って、自社は優秀だと判断してしまうのは明らかに間違いだとわかるはずです。
業者から提示される平均値を見ると、なんとなくそういうものかと思ってしまいがちですが、そもそも、一つの業者で実施している標的型メール訓練の件数なんてそう多いものではありません。
大企業と言われる会社でさえ、全国には1万社以上もあるのですから、そのうちの数十社や数百社の平均なんて、誤差を多く含んでいると考えるのが妥当でしょう。
他社の開封率と自社の開封率を比べることに意味はないとは言いませんが、比べるのなら、こうした事を考慮した上で考えるべきです。
開封率のちょっとずるい使い方
開封率の平均値自体にあまり意味はないことは、先に述べた通りですが、そんな開封率の平均値も役に立つことがあります。それは、
予算取りをするための根拠資料として使う。
という使い方です。セキュリティ教育というと、直接的には売り上げに繋がらないどころか、コストとして見られる事から、予算の増額を申請しても認めてもらえないことが多いと思います。
しかし、他社と比べて自社が負けている。となると話は別。
人の心理として、自分が負けていると感じるのはストレスが溜まるものであり、自分が負けているとわかると、負けたままではいられないという気持ちになりやすいものです。
この心理を逆手に取り、あえて、自社は他社と比べて劣っている。だから、もっと予算を取って、せめて他社と同レベルにまでセキュリティリテラシーを高めるべきです。と主張するための根拠資料として平均値を使えば、負けず嫌いの役員には、「刺さるキーワード」として効果を発揮するかもしれません。
標的型メールに関する知識に疎い役員の方々を相手にするなら、平均値自体の是非なんて気にもせず、自社が他社に劣っているという言葉だけが耳に残るはずです。
もちろん、切れ者の役員の方がいた場合は、平均値の妥当性について突っ込まれる可能性はありますが、そうした「わかる役員」がいらっしゃる場合には、自社におけるセキュリティ教育のあるべき姿について、膝を突き合わせて話し合ってみるのも一つの方法でしょう。
開封率、されど開封率。
あなたはこの数値をどう使いますか?