標的型攻撃メール訓練を自前で実施するという選択
取引先など、身の回りの企業が標的型攻撃メール訓練を実施しているという情報が幾つも流れてくると、さすがに自社でも訓練を実施しないとまずかろうということで、役員などから訓練を実施するよう指示されることもあるかと思います。
とはいえ、訓練を実施した経験が無いと何をどうやったら良いのかわからないということで、訓練を実施している業者に見積を依頼したりするわけですが、そうすると、提示される金額は何十万円とか、何百万円とか、予算がカツカツな企業にとってはなかなかシビれる金額が提示されたりします。
予算が十分にある企業であれば何の問題も無いのでしょうが、そうでない企業にとっては業者に委託するというのもハードルが高いということで、多少知識がある方であれば、どうにか自分でできないか?と考えるのは道理と言えるでしょう。
❓実際、訓練は自分でできるのか?
この問いについてYesかNoかを答えるなら、答えはYes!です。
かかる手間とか体裁とか、細かいところを全く気にしなければ話は単純で、
1.訓練実施対象者一人につき一つ、ホームページのURLを用意する。
2.そのURLを、それぞれの訓練実施対象者に訓練メールの形で知らせる。
3.訓練メールで知らせたURLにアクセスがあったかどうかを調べる。
4.訓練メールを見てURLにアクセスした人を、訓練メールに騙されてしまった人としてカウントする。
これが、標的型攻撃メール訓練を実施する際の基本的な考え方です。
つまり、そのURLにアクセスできるのは、そのURLを知っている人だけ。ということを逆手に取り、各人に送付する訓練メール内に記述するURLは、送付先ごとにユニーク(固有)とすることで、そのURLにアクセスがあったら、そのURLを知ることができる送付先の人がアクセスしてきたものとして判断すればよいというのが、もっとも原始的な標的型攻撃メール訓練の実施方法ということになります。
この方法なら、送信先の件数分だけのホームページを作る手間や、送信先別に内容の異なる訓練メールを作成し、送信するといった手間はありますが、誰にでも自作で訓練を実施することが可能です。
🤔原理としては簡単ではあるが…
社員が30人以下くらいの会社なら、実際、このような方法でも十分実用になるでしょう。レンタルサーバなら数千円も出せば借りられますから、業者に何十万円も出すよりは現実的かもしれません。
しかし、さすがに社員が数百人とかになってくると、送信先の数分だけホームページを用意するなどというのは現実的ではなくなってきます。
そうなると、手作業により手間がかかっていたことを自動化したり、プログラムを作成することで効率的に処理したりすることを考える必要が出てくることになります。
このためのアプローチは幾つもあり、まさにアイデア次第な話になってきますが、プログラムを作成することができるIT技術者なら、こうしたことにチャレンジされても良いと思います。
とはいえ、幾ら技術があると言っても、ゼロからプログラムを作成するにはそれ相応の時間がかかります。スキルアップのための投資として時間をかけるのであれば、それはそれで良いのですが、会社の業務として行うとなると、会社はそのための人件費を技術者に払うことになります。
経営層から見れば、社員に給料として払うにしても、業者に委託費として払うにしても、お金が出ていくことには変わりありませんから、結局のところ、どっちが安く済むのか?という判断になります。
つまり、理屈としては内製でできるとしても、それを実現するためにはどうしても社員の工数がかかるので、社員の人件費を考えたら、実際には現実的ではない場合もあり得るということになります。
💡そこで考えたいもう一つの選択肢
ゼロから自分でやるという選択ももちろんありますが、効率的なのは、既に世の中にある「出来合いのものを活用する」という選択肢です。
貴社が通る道は、既に先人が通った道であるというのはよくある話。
世の中には内製で訓練を実施する方法をブラッシュアップし、効率的に実施できる方法にまで進化させたサービスやツールが既に存在します。
標的型攻撃メール対応訓練実施キットはまさにその一つですし、他社が提供する訓練実施サービスもまた、そのようなものの一つです。
何でも自分でゼロから作ろうとするのではなく、お金を出しても効率的に使えるものはうまく活用し、トータルとして最もコストパフォーマンスが良い形で訓練を実施する。これが会社にとって最も望ましい姿だと考えます。
御社にとって最も望ましい形はどのような形でしょうか?
