〜外注前に知っておきたいポイントと見極め方〜
フィッシングメールやランサムウェアといった言葉がマスコミでも頻繁に取り上げられるようになり、それに伴って、標的型攻撃メール訓練を実施する企業もだいぶ増えてきました。
企業のセキュリティ対策レベルを推し量る要素として、訓練を実施しているか否かといったことが取り沙汰されることもあり、社員のセキュリティ意識を高めるための「標的型攻撃メール訓練」は、多くの企業で導入が進んでいます。
でも、「社内で企画・実施するのは難しい…」ということで、専門の業者に訓練の実施をお願いする、いわゆる“外注”という選択肢を選ぶ企業も多いと思います。
この記事では、はじめて訓練を任された方に向けて、業者を選ぶ際にチェックしておきたいポイントや、信頼できる業者・そうでない業者の見分け方について、長年、訓練を実施してきた専門家の立場からお伝えします。
✅1. 業者選びが訓練の成果を左右する理由
「どこに頼んでも同じでしょ?」と思われるかもしれませんが、実はそうではありません。
訓練の内容や設計によって、「ただびっくりさせるだけ」で終わるか、「しっかり学びが残る」かが大きく変わってきます。
ちなみに、ここでいう「しっかり学びが残る」とは、訓練を受ける側の社員と、訓練を実施するあなたの両方にとって、どのような学びが残るか?ということを指します。
良い業者は、社員一人ひとりに“気づき”を与えられる訓練を提案、実施してくれます。逆に、あまり考えられていない訓練だと、単なる形式的なイベントで終わってしまい、セキュリティ意識の向上にはつながりません。
業者を選定するに際しては予算もあるので、見積金額が安いところを優先的に選んでしまいがちですが、それだけで選んでしまうと、ただ訓練を実施しただけで終わってしまいかねません。
✅2. 業者を選ぶときの基本チェックポイント
業者を選ぶときは、以下のような点を確認すると安心です。
- これまでの実績は?
→ 同じような業種での導入例があると、より安心できます。 - 訓練の内容をカスタマイズできる?
→ 自社の業務やメール環境に合わせた設計ができるかが重要です。 - 訓練後の報告やサポートはある?
→ 訓練の振り返り資料や、改善に向けたアドバイスがあると効果的です。 - 社員への配慮はされている?
→ 誤解や不安を与えないよう、トーンや表現に気を配っているかを確認しましょう。 - 他社サービスの代理店か、それとも、自社サービスか?
→ 他社サービスの販売代理業者か、自社でサービスを運用している業者かを確認しましょう。
販売代理の場合はマージンが乗るので、その分、費用が高くなります。 - 訓練を実施するシステムは自社で開発・運用している?
→ 自社サービスと謳っていても、他社サービスを利用して提供している場合もあります。
他社サービスの代理店であったり、他社サービスを利用して訓練を実施している業者だからといって、必ずしも信頼できないというわけではありません。
自社で全て開発・運用すれば当然その分のコストがかかりますので、他社サービスを利用してその分のコストを節約し、他社サービスには無い付加価値を補って自社オリジナルのサービスとして提供する業者もあります。
選ぶべきでないのは、サービスを右から左に流すだけで高いマージンを取り、自社では何も付加価値を提供しようとしない業者です。業者が自社にどのような価値を提供してくれるのか?はしっかりと見極めたいものです。
✅3. 見落としがちな注意点
チェックリストに入りにくいけれど、実はとても大切なポイントもあります。
- 自社のメール環境に対応しているか(Microsoft365、Gmailなど)
- メールが届かない等のトラブルへの対応体制は整っているか
- 問い合わせや相談をしたときの対応は親切だったか
- 訓練後に使える研修動画や資料などがそろっているか
これらは、実施してから「こんなはずじゃなかった…」とならないためにも事前にチェックしておきたいポイントです。
✅4. 良い業者と、ちょっと不安な業者の違いって?
実際に問い合わせてみたり、見積を比較したりすると、業者ごとの姿勢が見えてきます。以下のような違いを参考にしてみてください。
| 観点 | 良い業者 | 不安な業者 |
|---|---|---|
| 提案内容 | 自社の業務や体制に合った提案をしてくれる | 決まったテンプレートを押し付けてくる |
| 説明対応 | わかりやすく、初心者にも丁寧 | 専門用語が多く、話がかみ合わない |
| 見積内容 | 明確で内訳も説明してくれる | 安いけど、何が含まれているのか不明 |
| サポート | 訓練中や訓練後の対応も手厚い | 実施後は連絡がつきにくい |
| 配慮 | 社員への説明文や注意喚起も丁寧 | 強めの演出で社員が不安になることも |
✅5. 初めて担当する方へのアドバイス
はじめて業者を選ぶときには、以下のようなことを意識すると安心です。
- 複数の業者から見積をとって比べてみる
→ 値段だけでなく、提案内容や説明のわかりやすさも比べてみましょう。 - 「こんなこと聞いていいのかな?」と思っても、遠慮なく質問する
→ 質問への答え方で、業者の対応姿勢や実力がわかります。 - 訓練の目的を社内でしっかり決めておく
→ 「社員に何を気づいてもらいたいのか」が明確だと、業者とのやりとりもスムーズになります。
なお、これは訓練に限らず言えることですが、自社ではどのような結果を得るための訓練を実施したいのか?を明確にすることが大事です。
ただ「訓練がしたい」だけだと、それを請ける業者の側も具体的にどのような訓練を実施すればよいのか、明確な答えが出せません。曖昧な指示は曖昧な結果しか生まないということを意識しましょう。
とはいえ、初めて訓練を実施する場合は、どのような訓練を実施すれば良いのか自体わからなかったりしますよね。そういう時は、業者に正直にその旨を伝えて、一緒に考えてくれるようお願いしましょう。
一緒に考えてもらうということは、業者にコンサルティングを依頼することに他ならないので、当然、その分の費用の上乗せとなるのは致し方ないところですが、確実に結果を出すための勉強代と考えれば、この費用を惜しんではいけないと思います。
また、相談に対して、快く一緒に考えてくれる業者であれば、自社に伴走してくれる良い業者である可能性は高いと言えます。
🎯良い業者を見極める究極クエスチョン
あなたが訓練実施に関して詳しい知識を持っていなくても、良い業者かそうでない業者かを見極める究極の質問があります。この質問をした際に業者が明確に答えを返せなければ、良い業者(もしくは担当者)ではないと判断して良いと思います。
❓SPF、DKIM、DMARCの設定は訓練の実施にどのような影響を及ぼしますか?
→ 送信ドメイン認証は訓練メールが迷惑メールとして判断され、受信者に届かないといったことになるかどうかを左右する重要な要素となります。この質問に対して「持ち帰って確認します」といった返答になるようなら、その担当者は訓練実施にあまり詳しくない人だと判断してよいでしょう。
❓訓練を実施すると、誰もメールを読んでいないはずの時間帯にメールが開封された記録が発生することがあると聞いたのですが、このようなことはあるのですか?
→ 昨今のセキュリティ対策システムは訓練メール内に記載されているURLにアクセスしてリンク先が不審なサイトでないかどうかをチェックするといったことを行っており、訓練実施結果にはこのような「システムからのアクセス」が記録されることがあります。
この質問に対して、システムからのアクセスがあることを明確に答えることができない業者は、訓練実施結果を正しくまとめることができない恐れがあります。
❓WordやExcelのVBAマクロについて注意すべき点はありますか?
→ もし、あなたが、訓練メールにWordやExcelファイルを添付した形の訓練を実施することを業者に委託しようとしているなら、必ず、この質問をすべきです。何故なら、現在のMicrosoft Officeでは、ネットワークから入手したOfficeファイルのVBA実行をデフォルトで不可にしているためです。
また、Officeファイルでは「編集を有効にする」「コンテンツの有効化」といったボタンが表示されるため、こういったボタンに関する知識を持ち、訓練を実施する際の注意点としてきちんと説明することができない業者は選ぶべきではありません。
🎯まとめ:信頼できる業者と、一緒に効果的な訓練を
標的型攻撃メール訓練は、社員の“気づく力”を育てる大切な取り組みです。だからこそ、信頼できる業者と手を組んで、意味のある訓練にしていきたいものです。
外注するということは、「社内のセキュリティ教育のパートナーを選ぶ」ということでもあります。無理に専門知識を身につけなくても大丈夫。まずは信頼できる業者に、しっかり話を聞いてみることから始めてみてはいかがでしょうか?
優良な業者から学び、社内に経験とノウハウを蓄積していくことも、業者を活用するポイントの一つです。
