訓練は「やればいい」ではない
標的型攻撃メール訓練は、企業がサイバー攻撃への備えを強化するうえで欠かせない取り組みです。
しかし、訓練を実施するだけで満足していませんか?
もし訓練メールの内容が「しょぼい」と感じられてしまったら…
社員はその訓練をどう受け止めるでしょうか?
👤「この程度の訓練しかやれないなんて、ウチのセキュリティ対策、本気じゃないのでは…?」
今回は、訓練メールの質が低いことによって起こりうる“逆効果”のリスクについて掘り下げていきます。
⚠️社員の目は、意外とシビアです
訓練メールを作る側は、「気づかせること」を重視して、あえてわかりやすい内容にすることもあります。しかし、受け取る社員の中には、こう感じる人もいます。
🧑💼「こんなメール、誰が引っかかるの?小学生でも怪しいとわかるでしょ…」
訓練メールの文面が「古臭い」「現実味がない」「誤字だらけ」など、不自然で稚拙に見えるものだった場合、社員は訓練そのものに対して冷めた目を向けてしまいます。
❌弊害①:会社の“本気度”が疑われる
「訓練はやってるけど中身が雑」
これはまさに、「形式だけのセキュリティ対策」と見なされてしまう典型です。
社員がこう考え始めるとどうなるか?
- ✅ メールのセキュリティを真剣に考えなくなる
- ✅ 他の情報セキュリティ施策も“どうせ形だけでしょ”と軽視される
- ✅ セキュリティ文化が根づかず、風化する
💡 “信頼”は、内容の質から生まれます。
❌弊害②:「またあれか…」という訓練疲れ
しょぼい訓練メールが続くと、社員の関心はどんどん薄れていきます。
- 毎回似たようなメール
- あまりにも不自然な文章
- 添付ファイルもリンクも明らかに怪しい見た目
このような訓練を繰り返していると、やがて社員の頭にはこうした思考が定着してしまいます。
😩「訓練メールってすぐ分かるし、どうせまたこれでしょ…」
つまり、訓練によってセキュリティ意識が下がるという本末転倒な現象が起きてしまうのです。
❌弊害③:訓練結果の数値が“意味のない数字”に
訓練後には、クリック率や報告率を集計して、効果を測ることが一般的ですが…
訓練メールの内容が稚拙だと、こうなります。
- 🟠「簡単すぎて誰も引っかからなかった」→ 低クリック率で効果が高いように見える
- 🟠「社員がやる気なく報告」→ 高報告率でも実際の警戒感は薄い
つまり、中身が伴っていない訓練では、数値の信頼性が担保されなくなるのです。
✅社員の信頼を得る訓練のポイント3つ
「じゃあ、どうすればいいの?」
信頼される訓練メールを作るためのポイントは、以下の4つです。
📌① 実際の攻撃事例を参考にする
「実際に企業が受けた攻撃メール」をベースにした内容は、現実味があり、社員の関心も引きます。
📌② 業務内容や立場に応じてカスタマイズする
営業部なら取引先からの連絡、経理部なら請求書…
リアルな業務シナリオに即した訓練メールを設計しましょう。
📌③ フィードバックで「気づき」を促す
訓練後に「なぜそれが怪しいメールだったのか?」を解説することで、学びの質を高めることができます。
📌④ 訓練実施の目的や狙いなどを示す
新入社員とベテラン社員ではスキルレベルが違うように、セキュリティに関するリテラシーレベルも社員によって異なります。
ある社員にはちょうど良い内容も、別の社員にはレベルが低いと感じられてしまうことはあり得ます。
このため、訓練を実施した後は、実施した訓練の内容がどのような目的や狙いに基づいて設計したものであるのかを示し、決していいかげんな内容で実施したものではなく、明確な理由に基づいて組み立てられた訓練であることを説明することが必要です。
一見、「しょぼい」と思われてしまうような内容も、そうするべき理由が明確で、納得感があるものであれば、社員の信頼が損なわれてしまうことを防げます。
🔚内容が伴わない訓練は信頼を失う
訓練は「社員を引っかけるため」ではなく、
「社員の意識を高めるため」に実施するものです。
中身が薄い訓練を繰り返してしまうと、
社員からの信頼を失い、
本来得られるはずの効果を台無しにしてしまいます。
訓練の実施を業者に委託している場合は、業者に任せきりにするのでは無く、業者から提案される訓練メールの内容について、他にも考えられる案は幾つもあるのに、何故、あえてその内容にするのか、具体的にどのような目的や狙いに基づいて訓練を設計しているのか?について説明を求めるようにしましょう。
クライアントの現況をしっかり把握し、クライアントの現状にマッチした訓練設計を行っている業者であれば、しっかり説明を行ってくれるはずです。
逆に、「弊社で用意している定型文から選択しています」「他社様でもこの内容で実施いただいています」など、よくわからない理由を述べるのみで、何故その内容が自社にマッチしていて、今その内容で訓練を実施すべきと考えるのか、明確な説明が行えない業者は選ぶべきではありません。
同業者として、そういったいい加減な業者は業界にいないと思いたいですが、実際に訓練の内容に疑問符が付いてしまうようなケースがあることを聞き及んだりしていますので、業者を利用して訓練を実施される際は注意いただきたいなと思います。
✅「訓練すること自体が目的」ではなく、
「社員の行動が変わること」が目的であることを忘れないようにしたいものです。
