担当者としてアサインされた、どうしたらいい?

訓練実施担当者になったら考えるべきこととは?

ランサムウェアをはじめとする企業を狙ったメール攻撃により、企業規模に関係なく被害が発生している昨今、標的型攻撃メール訓練実施を検討する企業は増えています。

そんな中、いきなり標的型攻撃メール訓練の実施担当者としてアサインされてしまった。という方もいらっしゃると思います。

セキュリティに詳しい方も、そうでない方も、初めて標的型攻撃メール訓練の実施担当者としてアサインされた場合、具体的に何をどうすれば良いかわからないというのが正直なところではないでしょうか?

✅とりあえず訓練を実施するには?

標的型攻撃メール訓練というと、模擬の標的型攻撃メール(いわゆる訓練メール)を従業員に送って、誰が訓練メールに騙されてしまったか?をレポートとしてまとめる。と、大雑把に言えばそんなことです。

なので、訓練を請け負っている業者を幾つかピックアップして見積を取り、よさげなところを選定して実施すれば、形としては実施できます。

別に知識など無くても、予算の範囲で最も良さそうな業者を選んでお任せすれば、後は業者がよしなにやってくれますから、あなたがやるべきことは業者を選定し、社内稟議を通すだけです。

でも、それだけで良いのでしょうか?

✅訓練を実施した結果をどのように判断するか?

訓練を実施すれば、それなりの結果レポートが得られますが、その結果が良かったのか悪かったのかは何を元に判断すれば良いのでしょうか?

こうした時によくあるのは「他社と比べてウチはどうなの?」という判断の仕方です。

他社の訓練実施結果と比べて、自社は良かったのか悪かったのかを判断する。それはそれで間違ってはいないのですが、実はここに大きな落とし穴があります。それは、

他社が実施した訓練と自社が実施した訓練は同じではない。

ということです。一口に標的型攻撃メール訓練といっても、訓練メールの内容によって難易度は大きく変わります。

誰もが怪しいと感じるような訓練メールを使った訓練と、一目見ただけでは怪しいかどうか全くわからないと思うような訓練メールを使った訓練では、当然結果の数値も異なります。

各社難易度が違う訓練を実施しているのですから、自社の難易度がわかっていなければ他社と比較のしようがありません。

例えば、大学受験模試を受験した際は、自分が志望する大学を目指す人達の中で自分はどの位置にいるのか?を見ますよね?

そういったことを考えず、他社がどのような難易度で訓練を実施しているのかを全く考慮せずに、自社と比べてどうなのか?という話がまかり通ってしまっているのが、標的型攻撃メール訓練においてはよくある話だったりします。

🎯担当者になったらこれをまず考えて欲しい

なので、担当者としてあなたがもしアサインされてしまったら、まずは「なぜ訓練を行うのか?」「訓練の成功の定義とは何か?」ということを考えてみてください。

  • 何はともあれ、社員に標的型攻撃メールを体験してもらうことが目的なのか?
  • 標的型攻撃メールの手口について知ってもらうことが目的なのか?
  • 不審なメールに騙されてしまった場合の対応について学んでもらうことが目的なのか?

一口に訓練といっても、目的を何にするかによって、対象も方法も結果の捉え方も全て変わってきます。

やっつけ仕事ならともかく、あなたが担当者として成果を出したいと思うなら、まずはここをしっかり考えることから始めてみてください。

投稿者アバター
キットマスター 代表
標的型攻撃メール対応訓練実施キットの開発者・運用者であり、現役の標的型攻撃メール訓練実施担当として、10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示