これ以上クリック率が下がらないなら、訓練をやめてもよい?
標的型攻撃メール対応訓練実施キットの販売を開始したのは2014年、標的型攻撃メール訓練が日本で広く認知され始めたのはこの頃からですが、この頃から訓練を始めていた組織では、開始当初から比べればクリック率も下がり、今ではほぼ下げ止まりの状況にあるというところもあるかと思います。
このような状況から、訓練を実施することを止めてしまったという企業もあれば、今年も訓練を実施するかどうか考えあぐねているという企業もあるかもしれません。
クリック率が下がり、これ以上は改善しそうにないという状況になった時、訓練はもうやらなくてよいと判断してしまってよいのでしょうか?
今回は、そんなお悩みを解消するための判断基準について考えてみたいと思います。
📌1.訓練の目的を再確認しよう
標的型攻撃メール訓練の本来の目的は、「クリック率をゼロにすること」ではありません。
目的は、社員が継続的に脅威を意識し続けることです。
クリック率が下がって安心して訓練を止めてしまうと、次第に意識が薄れ、再びクリック率が上がる可能性があります。
また、訓練を止めることで、「もう、不審なメールなんて気にしなくていいんだ」と勘違いしてしまう社員が出てきてしまう恐れもあります。
社員の入れ替わりが多い組織であれば、訓練を通じて社員に伝えていたメッセージも時間の経過と共に失われ、訓練をやっていたことすら忘れられてしまうかもしれません。
📌2.脅威は常に進化している
標的型攻撃は常に進化しています。日々新しい手法や巧妙な攻撃が登場しており、訓練をやめると新たな攻撃手法に対して脆弱になります。
訓練を通じて最新の手口を社員に浸透させることが、最大の防御策となります。
実際の手口は無数と言っていいほどにありますが、訓練実施回数が限られている以上、訓練の中で全ての手口が網羅できるわけではありません。
クリック率が下げ止まってきたといっても、それは、あらゆる手口を対象に確認した結果ではないはずです。
クリック率が下げ止まっているかのように見えるのは、限られたパターンの範囲でしか訓練を実施していないからであるかもしれません。
そういったことも考慮せずに、目の前の数値だけを見て、訓練を止めるかどうかを判断しようとしているとしたら、それは非常に危険と言えます。
📌3.コストとリスクのバランスを見直そう
訓練を行うコストが気になるかもしれませんが、実際に攻撃を受けた場合の被害額と比較してみましょう。
訓練コスト < 攻撃を受けた際の被害額
この式が成り立つ限り、訓練の継続はコストパフォーマンスの良い安全対策です。
また、訓練を実施していることを対外的にアピールすることで顧客に信頼感が生まれ、営業がしやすい状況が作れているのなら、その分、目に見えないコストメリットが得られていることになります。
クリック率だけではなく、訓練を実施していることによって”何が得られているのか”、また、やめることによって”何が失われてしまうのか”、”目に見えるもの”と”目に見えないもの”の両方を勘案し、コストとのバランスを考えることが大切です。
📌4.訓練停止や頻度調整の条件とは?
訓練頻度を調整するためには、以下の条件を満たしているかチェックしましょう。
- 📌一定期間クリック率が非常に低く安定している
- 📌社内のセキュリティ意識が定着し、自己学習が浸透している
- 📌最新の攻撃手法を定期的に共有・学習する仕組みが整っている
つまり、訓練なんかしなくても、社員の誰もが最新の手口に関心を持ち、常に自己研鑽をしていて、会社が何も言わなくても自ら脅威から身を守る手立てを講じている。
こうした条件が満たされているのであれば、訓練を止める、また、実施頻度を下げるなどの柔軟な対応を考えても良いと思います。
しかし、こうしたことが実践されている企業は希でしょう。
訓練という形で実施するかどうかは別として、ほとんどの会社は何かしらの形で社員が継続的に脅威を意識し続ける仕組みを継続して運用する必要があります。
📌5.定期的なレビューで状況をチェック
企業によっては、コストや優先度の兼ね合いから、訓練の実施を断念する、また、頻度を変更するといった必要に迫られるところもあるかもしれません。
しかし、そうした場合でも、定期的に状況のレビューを行い、クリック率の変化などを確認することが必要です。
不審なメールを開いてしまったといった報告が上がってくる件数が増えたり、不審な挙動がブロックされることが増えてきたような傾向が見えたら要注意かもしれません。
一度止めたらもうやらないというのではなく、状況に応じて訓練の再開や実施頻度の再調整を行うことが重要です。
🌟結論:訓練の「完全停止」よりも「調整」が重要🌟
訓練を完全にやめるのではなく、リスク状況に応じて頻度を柔軟に調整しながら運用する。これが賢い選択です。
継続的な意識付けと知識のアップデートこそが最大の防御策です。
安全な企業運営のために、「クリック率が下がってきた」→「もうやらなくていい」と単純に判断するのではなく、目の前の状況を正しく把握し、ぜひ賢明な判断を心掛けましょう!
