標的型攻撃メール訓練は「業者任せ」では成果が出ない!次にすべき改善策とは?

🤔改善の打ち手が見えなくなっていませんか?

標的型攻撃メール訓練を専門業者に委託している企業も多いと思います。しかし、「業者の言われるままに訓練を続けているけれど、どう改善していけば良いのかわからなくなった」ということはありませんか?

もう何年も業者に委託して訓練を実施しているけれど、開封率(クリック率)は上がったり下がったりであまり変わり映えしていない。今後、訓練実施結果を改善することはできるのかどうか、また、改善できるとしたら打ち手として何があるのかわからない。

そんなことになっている企業も中にはあるようです。

本記事では、なぜ業者任せではいけないのか、そして改善を図るために企業が自ら取り組むべき具体的なアクションをご紹介します。

❓なぜ「業者任せ」の訓練では改善が進まないのか?

業者任せの訓練では、次のような問題が生じます。

受け身の姿勢になる
業者に任せっきりになると、「とりあえず実施すればいい」という思考停止に陥ります。その結果、訓練の目的や課題意識が希薄になり、本質的な改善が進まなくなります。 

画一的な内容になる
業者が提供する訓練プログラムは汎用的である場合が多く、自社特有のリスクや業務環境が反映されない可能性があります。これでは実際の攻撃に耐えうる社員のリテラシーを育てることは困難です。 

成果が把握できない
訓練の結果報告を受け取るだけでは、改善のヒントを得るのは難しいでしょう。社員の反応や行動変容まで深く理解できず、訓練が形骸化してしまうリスクがあります。

業者の経験値や技術力、また、標的型攻撃メール訓練に対する考え方、そして、誰が訓練実施に関わるかによって大きく異なりますが、訓練に対する考え方が浅く、単に訓練メールを送って開封率を集計するだけで、何故そのような訓練を行うのか、訓練の設計自体に思想が無い、また、訓練内容の背景思想について語れない業者が実施する訓練では改善が進むことはないでしょう。

何の思想もなしに設計する訓練は場当たり的になり、過去の訓練からの連続性もなかったりするので、訓練実施結果もバラバラになり、その結果から改善を考えようとしても、軸が無いので考えようがありません。

今年は○○の手口が流行っているので、○○を題材に訓練を実施しましょう!

なんていうのは、ありがちですが、手口の裏にある本質について考えることもなく、上っ面の手口だけをシミュレートする訓練では、手口を知ることはできても、本質的な部分での改善は図れません。

🔍業者の言いなりにならないために必要な視点とは?

改善に向けて企業自身が持つべき視点は、以下の3つです。

✅①「目的意識」の明確化

訓練の目的は単にクリック率を下げることではなく、「社員のセキュリティ行動を変容させること」です。訓練の目的を明確に設定し、それに沿った訓練が行われているか確認することが重要です。

✅②「課題の具体化」

訓練結果を受けて、「なぜクリックしたのか」「どのような内容が苦手なのか」といった具体的な課題を掘り下げる必要があります。この課題を企業側で主体的に把握していないと、改善施策が的外れになりやすくなります。

✅③「訓練と教育の連携」

訓練を単体で完結させるのではなく、その結果を踏まえてセキュリティ教育や啓発活動につなげていくことが重要です。訓練で見つかった弱点を、教育施策によって克服する仕組みづくりを行いましょう。

📌改善を実現するために企業が行うべき具体的アクション

業者に訓練実施を委託すること自体は悪いことでも何でもありませんが、”何もわからないから”と業者に丸投げしてしまうのは悪手です。

業者に経験とノウハウがあれば上手く誘導してもらえたりしますが、そうでない業者に委託してしまうと、成果が得られない形だけの訓練を実施してしまうことになる恐れがあります。

業者に委託するにしても、企業自身が主体となり、具体的な改善アクションを行うことで、成果が見えてきます。

✅① 訓練結果の徹底的な分析

  • クリック率だけではなく、社員がクリックした背景(心理や行動の傾向)を詳細に分析します。
  • 定期的に現場の声を集めて、訓練内容の妥当性や改善点を抽出します。

✅② 社内での「フィードバック体制」の構築

  • 訓練結果を各部署の管理者と共有し、具体的な改善策を協議する機会を設けます。
  • 社内コミュニケーションを通じて、「訓練は自分たちの安全を守るもの」という意識を醸成します。

✅③ 自社の業務特性を踏まえた訓練シナリオ設計

  • 自社の業務特性、使用するシステム、情報資産、想定されるリスクを明確にし、それらをターゲットにした現実的なシナリオを企業側から提案し、業者に反映してもらいます。
  • 業務のリアリティを訓練に反映させることで、社員が訓練を自分ごととして捉えるよう促します。

ひとくちに社員の情報リテラシーを底上げするといっても、部署や人によって扱っている情報資産は異なり、想定されるリスクもそれぞれなので、細かく見ていけば、優先度は一律ではないことは明らかです。

全体論と個別具体論で考えたときに、何を優先し、どのような順序で何を行っていくのか?
ここをしっかり考えるのは委託元である企業側であり、そのための情報や技術が足りないというのであれば、業者の力を借りて足りないものを埋めていけばよいのです。

求めるものが明確であれば、選ぶべき業者も自ずと明確になるはずです。

🛡️主体性こそが「セキュリティ強化」の鍵

標的型攻撃メール訓練を業者に任せきりにするのではなく、企業が主体的に関与することが重要です。自社の課題を正しく把握し、目的を明確化し、それに基づいた教育とフィードバックのサイクルを作ることで、訓練の効果を飛躍的に高めることが可能です。

また、業者の側も、クライアントから言われたことを額面通りに受け取って作業を行うのではなく、クライアントの背景に隠れている本質的な課題や目的を引き出し、本当に優先して取り組むべき課題は何なのか?を明らかにしていくだけの矜持を持って訓練実施に取り組むべきだと思います。

ぜひ本記事を参考に、改善に繋がる標的型攻撃メール訓練の実施を実現してください。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示