自作で標的型攻撃メール訓練を実施する際の落とし穴とは?
標的型攻撃メール訓練は、社員のセキュリティ意識を高め、実際の攻撃に備えるための有効な手段です。
訓練の実施にあたっては、業者に委託するという方法以外に、業者に委託せず、自社で全て準備・実施するという方法もあります。
しかし、自社で全て準備・実施する場合、思った以上にハードルが高いことがあります。
確かに、セキュリティやメール運用に詳しい技術者がいれば、自作は可能です。
ですが、自作には独自の課題やリスクが潜んでおり、それを理解せずに始めると失敗やトラブルにつながりかねません。
コスト削減に繋がり、自由度も高い自社内製での訓練実施はお奨めの方法ではありますが、必ずしも良い事ばかりでは無いということを、この記事ではお伝えしたいと思います。
1️⃣ 訓練シナリオ・メール文面作成のハードル
📌 最新の攻撃手口を反映する必要がある
- 攻撃メールは年々巧妙化しており、社員の警戒心を適度に刺激する文面を作るのはそれなりに手間がかかります。
- あまりにも稚拙だと「現実味がない」と判断され、訓練効果が薄れてしまいます。
- 高度な手口になると、内容をキャッチアップするための学習時間も必要です。
💡 ポイント
- 実際の攻撃事例や最新トレンドを参考にする
- 「騙す」ことが目的ではなく、「気づく」ための設計を意識する
すべてを自作で実施する場合、全ての作業を自身で行うため、作業に取られてしまう時間が発生します。他の業務もある中では、”時間”は意外と無視できないリソースになります。
複数名でチームを組み、作業を分担して行う体制ができていれば良いですが、そうでない場合は作業に追われ、シナリオ作成などに十分な時間が取れなかったり、トレンドを調査するなどの情報のキャッチアップができず、”訓練をやるだけ”で終わってしまいかねない恐れがあります。
2️⃣ メール送信環境・ドメイン設定のハードル
📌 届かない訓練メールは意味がない
- SPF/DKIM/DMARC などの送信認証設定を正しく行わないと、セキュリティ製品により受信拒否されやすくなります。
- なりすまし風メールを送る場合はさらに注意が必要で、誤送信時のリスクも高まります。
💡 ポイント
- 専用ドメインやSMTPサーバーを準備する
- 誤送信防止の仕組み(送信リストの二重チェックなど)を導入する
自作で実施する場合、技術的な問題は全て自分で解決しなければなりません。技術者が揃っている組織であれば問題はないでしょうが、そうでない場合は解決に時間がかかってしまい、実施したい訓練ができないということになってしまうかもしれません。
メール以外にも、WebサーバーやDNSサーバーなど、技術的なハードルを越えなければならない場面は色々あるので、こうしたハードルを越えるための知識や経験を持ち合わせているメンバーが組織内にいるかどうかは重要なポイントになります。
3️⃣ 訓練結果の正確な取得・分析のハードル
📌 結果が正確でなければ改善につながらない
- 誰がリンクをクリックしたかを正確に記録する仕組みが必要です。
- セキュリティ製品による自動アクセスと、人間によるクリックを区別できないと誤判定が発生します。
💡 ポイント
- クリック検知のJavaScript実装やログ解析のスキルが必要
- 集計後は個別フィードバックと全体傾向の分析をセットで実施する
様々なセキュリティシステムがリンク先にアクセスするといったことは、今や日常的に行われるようになってきているため、”リンク先へのアクセスがあったことがイコール、訓練メール内のリンクを社員がクリックした”とは言えなくなっているのが実状です。
こうした実状を踏まえ、セキュリティ製品による自動アクセスと、人間によるクリックを区別する仕掛けを自身で考慮できるかどうかも、自作で訓練を実施する上での課題になります。
4️⃣ 誤送信・情報漏えいのリスク管理のハードル
📌 訓練そのものが事故になる可能性
- 文面に実在の社外関係者名や機密情報を使ってしまうと、外部に漏れた場合にトラブルになります。
- 対象外の社員や社外へ誤送信すると混乱を招きます。
💡 ポイント
- 訓練用の架空情報を使用する
- 送信リストは二重チェック・承認フローを必須化する
自社と無関係な第三者に訓練の内容を知られたくないといった場合は、種明かしページにアクセス制限を設定するなどの対応が必要です。こうした対応を考慮するだけの時間的余裕、また、設定を行うだけの知識と、作業のための時間を割けるかどうかも課題になります。
5️⃣ 継続運用のハードル
📌 一度だけでは効果が限定的
- 訓練は定期的に実施してこそ効果が高まります。
- しかし、毎回シナリオを作り直し、送信環境を維持し、結果を集計・報告するのは大きな負担です。
- 組織である以上、担当者に異動や退職があっても継続して訓練を実施できることが必要です。
💡 ポイント
- 年間スケジュールを事前に設計
- 必要に応じて部分的に外部サービスを併用する
訓練は継続することが大切です。属人に頼ったシステムを構築してしまうと、その人が異動や退職になってしまう、また、他の業務に追われて時間が取れないといったことになると、訓練を実施することができなくなる恐れがあります。
「自作でできるが、それは○○さんがいるから」ということであるとすると、○○さんがいる間は自作でもよいかもしれませんが、組織として取り組む以上、○○さんがいなくなってしまった時はどうするか?を考えておく必要があります。
✅ まとめ
自作の標的型攻撃メール訓練は、コストを抑えられる反面、以下の課題が避けられません。
- シナリオ作成のための技術的、時間的なハードル
- 送信環境構築などの技術的なハードル
- 結果分析の精度確保のハードル
- 誤送信リスク管理のハードル
- 継続運用のハードル
これらを理解したうえで、**「どこまで自社で行い、どこから外部に頼るか」**を判断することが、現実的かつ安全な運用への第一歩です。
自作で標的型攻撃メール訓練を実施する場合は、「技術的にできるかどうか」だけでなく、シナリオ作成などの全ての作業をこなすだけの時間的な余裕や、背景知識のキャッチアップなどの事前準備にも時間を割けるかどうかといったことを考慮することが必要です。
また、これらを毎年継続して実施できるかどうかも、併せて考慮する必要があります。
以上のようなことを考慮すると、全てを自社でこなす自信、余裕、人的・技術的リソースがあるというのでなければ、
- いざという時にいつでも頼ることができるセカンドオピニオン的な存在として、サポートやコンサルティングサービスを提供している業者、専門家と契約する。
- 時間的な余裕を作るため、業者が提供しているシステムを利用する。
といった、内製と業者利用のハイブリッドで訓練を実施することが、充実した訓練を効率的に実施することに繋がると考えます。
標的型攻撃メール訓練を実施する担当者のほとんどは、訓練以外にも様々な業務を担っている事と思います。他の業務にも追われる中で、訓練のために時間を割くことは意外と大変です。
業者が提供している仕組みや知識を活用し、準備にかかる時間を短縮する、いわゆる「時間をお金で買う(業者を頼る)」という考え方を持つことも、訓練を成功させるポイントの一つです。
