担当者に求められるスキル・知識7つをやさしく解説
「標的型攻撃メール訓練、うちの会社でもやった方がいい気がする…」
「でも、自社でやるには何が必要?ITの専門知識がないと無理?」
そんな不安をお持ちの情報システム担当者、総務担当の方へ。
この記事では、標的型攻撃メール訓練を社内で実施・運用するために必要なスキルや準備を、初心者にもわかりやすくまとめました。
🛠️ 標的型攻撃メール訓練に必要な7つのスキル
✅ 1. 情報セキュリティの基礎知識
訓練を実施するうえで、以下のような基本用語の理解が必要です:
- フィッシング/標的型攻撃とは
- マルウェアやウイルス感染の仕組み
- メールの構成(差出人・件名・本文・ヘッダーなど)
📌 ポイント:
資格や専門知識までは不要。「なぜ訓練が必要なのか」説明できるレベルでOKです。何故なら、専門知識が必要となる部分は外注や既存のツールを活用することで補えるからです。
むしろ必要なのは、フィッシング詐欺やウィルス感染による被害が何をきっかけにして発生するのかを知っていることです。
きっかけを知っていれば、そのきっかけが起きないようにすることが何よりの対策となるからです。
✅ 2. メール文面を作成するライティング力
訓練メールは、実際の業務メールに似せて作ることが重要です。
そのため、リアルな文面を作成できる文章力や観察力が求められます。
例:
- 「請求書送付の件」などの定型メール
- サポート詐欺風の警告メール
- 上司や取引先になりすましたメール
📌 ポイント:
実際に社内で流通している業務メールを参考にすると◎。文面テンプレートを提供してくれるサービスもあります。
最近ではChat GPTなどのAIに尋ねることで、時節に合わせた訓練メールを作成することも可能になっていますので、ライティング力が無くても訓練メールを作成することは十分可能です。
✅ 3. メール配信ツールやシステムの基本操作
訓練用のメールは、社員全体や特定部門に一斉送信する必要があります。
そのため、以下のような操作スキルが必要です。
- メール配信ツールの使い方(例:Google Workspace、Outlook、専用訓練ツール)
- 配信リストの作成・管理
- 配信ログの確認
📌 ポイント:
多くのツールはマニュアル付き。一度使えば慣れるレベルの操作です。
✅ 4. メールが配送される仕組みについての理解
訓練用のメールを送信しても、迷惑メール判定されるなどして社員に届かなければ意味がありません。
そのため、メールが配送される仕組みに関して以下のような知識が求められます。
- メールが配送される仕組み
- メールが迷惑メールとしてブロックされる仕組み
- メールに関する技術知識(例:SMTP、STARTTLS、SPF、DKIMなど)
- 訓練メールが迷惑メールとしてチェックされないようにする方法
- 自社に導入されているメールシステムは何か?
- 自社に導入されているセキュリティ対策システムは何か?
📌 ポイント:
メールがどのようにして届くのか?を理解することは、訓練メールがブロックされて届かないといったトラブルを回避するためには必要な知識となります。
訓練メールを作成する際、差出人アドレスに「なりすまし」のアドレスを使うことも多いと思いますが、なりすましかどうかを判別してブロックする仕組みが導入されている環境では、差出人として使いたいアドレスが使えないといったことがあります。
こうしたことが原因で訓練メールが届かない場合、知識が無いと原因を特定することもできずに途方に暮れてしまうことになりかねません。
ご自身に知識が無い場合は、社内のメールシステム担当者に協力を仰ぐとよいでしょう。
✅ 5. ホームページ作成についての知識
訓練メール内に記載されているURLリンクをクリックすると「これは訓練です!」といったいわゆる「種明かしページ」を表示する(あえて表示しないようにする場合もあります)ことになりますが、
この種明かしページはHTML言語を用いて作成することが多いため、以下のような知識やスキルが必要です。
- ホームページ作成に関する知識(HTMLやCSS)
- ホームページ作成ツールの使い方
- ホームページのデザインに関する知識
- 作成したホームページのWebサーバーへのアップロード方法
📌 ポイント:
自社でWebサーバーを用意して訓練を実施する場合は、Webサーバーに関する知識も必要になります。
訓練を実施できるクラウドサービスなどでは、HTMLの代わりにPDFドキュメントなどを種明かしページとして使えることもあります。また、テンプレートとしてデザイン済みの種明かしページが提供されるサービスもありますので、こうしたものを活用すれば、あまり知識が無くても種明かしページを作成することは可能です。
✅ 6. 訓練結果を集計・分析するスキル
訓練後は、以下のようなデータを確認・集計します:
- 開封率、クリック率
- 誰が引っかかったか(個人名は伏せることが多い)
- 部門別の傾向や弱点
なお、昨今は様々なセキュリティ対策システムが訓練メール内に記載されたURLにアクセスを行うことが多くなったため、訓練実施時に取得されるデータにこうしたシステムからのアクセスが混じってしまうことが多くなりました。
このため、訓練実施結果を集計するに際しては、訓練メール内に記載されているURLに対して、社員がアクセスしたのか、それとも、セキュリティ対策システムがアクセスしたのかを、アクセス元のIPアドレスやユーザーエージェント情報などを元に選り分けることができるだけのスキルが必要になる場合があります。
📌 ポイント:
訓練結果のとりまとめ自体は、Excelやスプレッドシートでの簡単な集計ができれば十分。
グラフにすれば経営層への報告資料にも使えます。
但し、セキュリティ対策システムからのアクセスがデータとして混じってしまうため、訓練実施環境によっては、こうしたデータを選り分けるための知識が必要になります。
✅ 7. 社内周知・報告に必要なコミュニケーション力
訓練は社員を“試すため”ではなく、“気づきの機会を与えるため”に行います。
そのため、訓練の目的や結果をわかりやすく伝える力、また、訓練実施の目的に共感してもらうための適切な表現力が重要です。
- 事前説明やFAQの作成
- 結果報告時の配慮(個人攻撃にならないように)
- 各部署の業務への理解
- 各社員のリテラシーレベルの把握
- 経営層や管理職との連携
📌 ポイント:
「みんなでセキュリティ意識を高める」というポジティブな伝え方がカギです。
各社員が訓練実施に非協力的だったり、訓練に批判的だったりしては、折角訓練を実施しても効果も限定的なものになってしまいます。
訓練を実施して終わりではなく、訓練実施を通じて、会社全体でセキュリティを守っていこう!という意識を醸成することが訓練のあるべき姿になりますので、訓練実施を社員とのコミュニケーションツールと捉えて、訓練全体の計画を練ることをおすすめします。
🔰 ITの専門知識がなくても実施できるの?
結論から言えば、できます。
- ツールやテンプレートを活用すれば文面も簡単に作れる
- 配信やログの確認は、一般的な業務ツールと似た操作
- 訓練結果も簡易な表やグラフで十分
「情報システム担当じゃないけど任された…」という方も、少しずつ取り組めば問題なく実施可能です。
訓練は社員教育の一環ということで、総務部門など、システム部門ではない部署の方が担当されることも少なくありませんので、技術者ではない方でも取り組むことは十分可能です。
自分はIT知識をあまり持っていないのだけど…という方も、今は訓練実施をサポートするクラウドサービスなどが沢山ありますので、こうしたサービスなどを活用して是非チャレンジしてみてください!
📦 自社で準備するものまとめ
| 項目 | 内容 |
|---|---|
| メール文面 | 実際の業務を模したものがベスト |
| 配信リスト | 部署・職種別などに分けておくと便利 |
| 配信ツール | 社内システム or 訓練用サービス |
| 迷惑メール判定回避 | 自社メールシステム担当の協力 |
| 種明かしページ | ホームページ作成ツールなど |
| 結果集計用ファイル | ExcelやGoogleスプレッドシート |
| 社内向け説明資料 | 訓練の目的・実施内容・注意点など |
✏️ まとめ:小さく始めて、継続することが成功のカギ
- 必要なのは**“高いITスキル”よりも、“気づきを広げる力”**
- テンプレートや外部ツールを使えば、誰でも実施可能
- 最初は小規模でもOK。継続と改善が効果を生む
標的型攻撃メール対応訓練実施キットは、標的型攻撃メール訓練を実施する担当者様を支援するツールキットです。訓練実施に必要となるものを全て揃えていますので、総務部門など、システム部門ではない部署の方でも、内製での訓練実施を実現します。
