訓練のトリセツ（Kunren+）が解説！EDR導入したから訓練なんてもう必要ない？－システムを強化しても訓練を継続する意義とは？

不審なメールが届かないなら訓練はやる必要ない？

企業がEDR（Endpoint Detection and Response）など高度なセキュリティ対策を導入することで、不審なメールの大半がブロックされるようになり、「標的型攻撃メール訓練は不要では？」という意見が社内から出てくることがあります。

既に訓練を何年にもわたって実施し、クリック率も昔に比べればだいぶ下がったといった企業であれば、訓練実施不要論が一度や二度は出ている、また、実際にそうした話が出たことで、費用対効果を考えて訓練をやめてしまったという企業もあるかもしれません。

しかし、本当にその判断が正しいのか、改めて具体的事例を交えて考察してみましょう。

📌 1. セキュリティ人材の育成としての価値

EDRなどを導入することによって、不審なメールはほとんど届かなくなった、また、届いたとしても、振る舞い検知でブロックされるようになったので実害が出る事もほとんど無くなった。というのは事実かもしれません。

その結果、不審なメールへの対応はシステムでできるようになったので、人による対応はもう必要ないとして訓練を止めてしまったとしたらどうなるでしょうか？

例えば、新種のフィッシングメールがシステムをすり抜けて社員に届き、社員が対応できずに機密情報が漏洩寸前まで至った事例が発生してしまったといった場合、EDRなどによって実害が発生することは防げたとしても、検知に伴うアラームへの対応や、実害が発生しかけたことについて、役員などへ報告を行うといった後処理の手間が発生することになります。

何かと忙しい中で、こうした対応に手間が取られてしまうことはできれば避けたいはずです。

社員が不審メールを自己判断できる力を持ち、そもそも何も起きないようにすることができていれば、それが一番であるはずです。

セキュリティ人材を育てるというのは、何も、ホワイトハッカーを育てる事ばかりではありません。

🔑 2. セキュリティ意識の継続的醸成

EDRを導入したことでシステムによる防御ができるようになったとして、訓練の実施を止めてしまうと、社員は「もう、不審なメールかどうかを自分で気にする必要はない」と考えるようになるでしょう。

訓練を止めるということは、訓練は必要ないということであり、会社は「不審なメールについて考える必要などない」と言っていると、社員は捉えるからです。

こうした状況で新種のフィッシングメールがシステムをすり抜けて社員に届き、社員が対応できずに機密情報が漏洩寸前まで至った事例が発生してしまったといった場合、システム担当は「不審なメールには気づいてくれよ」と思うかもしれませんが、当の社員は、自分が不審なメールを開いてしまったことが良くなかったことだとは考えないでしょう。

それどころか、訓練もしないくせに、社員に不審なメールに気をつけさせるなど、会社の対応として横暴だ！と考えるかもしれません。

だって、訓練を止めることによって、不審なメールについて考えなくていいというメッセージを会社が社員に伝えているからです。

何に気をつければいいのかなんて、何も教わっていないよ！という話です。

導入しているシステムが万能で、社員は不審なメールについて本当に何も考える必要がなく、興味本位でつい不審メールを開いてしまうことがあっても何の問題も無いということであれば、訓練など必要ないでしょう。

でも、そうではないのなら、システムも万能ではないということを理解してもらい、最後の砦として個々の社員に機能してもらうためにも、訓練を実施し、社員の協力が必要であるというメッセージを会社として伝え続けることに意義があると考えます。