標的型攻撃メール訓練を抜き打ちでやる注意点と失敗例

この記事は約9分で読めます。

企業を脅かすサイバー攻撃への対策として最早一般的になった標的型攻撃メール訓練ですが、いざ実施するとなると、検討事項も対応内容も盛りだくさんで、なかなか一筋縄ではいかないものです。

中でも頭を悩ませることの一つに、抜き打ちで実施するべきか否か、事前通告をするべきか否かという問題がありますよね。

本記事では、標的型攻撃メール訓練を抜き打ちで実施するべきかの是非について解説します。

また、標的型攻撃メール訓練を効率的に進めたい方へ、標的型攻撃メール訓練のガイドブック&ToDoリストを無料で配布しています。抜けもれなく実施するために、ぜひご活用ください。

ガイドブック付き!
標的型攻撃メール訓練ToDoリスト
チェック形式ToDoリストはこちら
チェックリスト画像

標的型攻撃メール訓練についておさらい

まずは標的型攻撃メールおよび訓練についてかんたんに説明します。

標的型攻撃メールとは

標的型攻撃メールは、特定の企業や組織をターゲットに情報等を不正に窃取する目的で送信されるメールのことです。受信者を騙すために、メールの件名・文面から送信者情報などあらゆる箇所が巧妙に作りこまれ、見破ることが困難であるという特徴があります。

また、標的型攻撃メールを通じて感染するマルウェアには検知ソフトが検知できないものもあり、受信した従業員の知識・意識が対策のカギです。

標的型攻撃メール訓練とは

そこで、従業員が標的型攻撃メールを見破るための適切な知識と意識をはぐくむ手段として、標的型攻撃メール訓練があります。

標的型攻撃メール訓練は、従業員が本物の標的型攻撃メールを開いてしまわないように事前に模擬標的型攻撃メールを送信する訓練のことです。

従業員の適切な知識と意識を醸成することが目的ですので、セキュリティ教育と組み合わせつつ継続した実施が望ましいでしょう。

より詳しくは「セキュリオ」標的型攻撃メール訓練ご紹介ページで解説しています。ご参照ください。

標的型攻撃メール訓練 | 開封率ゼロを目指すクラウドサービス | セキュリオ
標的型攻撃メール訓練を実施し、開封率を下げ、報告率を上げるためには、計画から実施・教育にいたるま...
www.lrm.jp

標的型攻撃メール訓練の本質と抜き打ちでやることの是非

メール訓練の目的・意義

標的型攻撃メール訓練を実施するそもそもの目的は、従業員が訓練メールの受信や開封をリアルに体験し、自分ゴトとして捉えてセキュリティ意識を高めることにあります。
従業員が悪意あるメールを識別し、適切に対処できる能力を養うことがゴールです。

従業員のセキュリティ意識を醸成する

そのため、「従業員が訓練メールを開封したかどうか」はあまり重要ではありません。
標的型攻撃メール訓練では、「従業員が適切な知識で訓練メールを識別し、適切な対処を取れたかどうか」が成否の指標です。もちろん、開封率自体も見ておくべきではありますが、あくまでも目安程度にとどめておきましょう。

肝心なのは、本物の標的型攻撃メールに遭遇した際に従業員が適切に対処できるか、です。

抜き打ちで実施するメリットもデメリットもある

ここまでを踏まえて、標的型攻撃メール訓練を抜き打ちで実施する是非を考えてみます。

抜き打ちでの訓練実施には、下記のようなメリット・デメリットが考えられます。

メリット

抜き打ちの方がリアル

本物の標的型攻撃メールも突然やってくるため、抜き打ちでやる方がリアルであり、従業員の素の対応が測れます。

また、「抜き打ちで訓練実施する」ことだけ通知しておけば、従業員は普段から訓練メールに用心することになるため、併せて本物の標的型攻撃メールにも用心することになります。

従業員にとって印象深くなる

事前の通達なく不審な訓練メールを受信した、訓練メールに引っかかってしまった、といった場合、従業員の心には驚きや恥ずかしさが生まれます。

また、「今後は気を付けよう」という気持ちにもなるかもしれません。こうした体験が、印象深く従業員の行動を変える可能性があります。

デメリット

従業員が適切な対応フローがとれない

抜き打ちでの訓練実施では、メールに気づく従業員、気づかない従業員、気づいたけど放置した従業員など、対応に意図せぬバラつきが出てしまいます。

もともとセキュリティリテラシーの高い従業員の場合は、適切な判断・対応が可能です。しかし、リテラシーの低い従業員はどんなフローで対応していいかわからず、放置してしまう、最悪の場合、開封/リンククリックをしてしまうかもしれません。これでは、実際の攻撃メール受信時に対応できる能力がいつまでも育ちません。

騒動やヘイトにつながる

ご担当者様はよくご存知と思いますが、情報セキュリティ対策は従業員に疎まれてしまうのが常です。ただでさえ業務の邪魔に思われているのに、訓練メールを開封してしまった(=騙されてしまった)恥ずかしさや怒りがあると、情報セキュリティ担当者にヘイトの矛先が向かうかもしれません。あるいは、「こんな恐ろしいメールが届いた」と社内で話題になり、騒動に発展してしまうことも考えられます。

訓練メールなのに注意喚起で大騒ぎ、失敗しない標的型攻撃訓練の進め方
健康保険組合が続々と注意喚起を出した。「健康保険組合連合協会」という差出人のメールが届くという。...
xtech.nikkei.com

こうしたメリット・デメリットがあり、正直、抜き打ちでの訓練実施の是非は一概には言えません。

ただ、訓練の事前・事後の教育や周知次第である程度は制御できます。

「訓練実施をする」ことは通達せずとも普段から標的型攻撃メール受信時の対応・報告フローを啓蒙しておけば、どう対応すればいいかわからない従業員も減らせますし、従業員が必要以上に騒ぎ立てず適切な部署に報告してくれます。

また、適切な対応が取れなかった従業員に個別に事後教育することも、一定の効果が得られます。

逆に、抜き打ちの驚きや恥ずかしさによる印象深さに依存せずとも、継続的な訓練実施や定期的なセキュリティ教育で従業員のセキュリティリテラシーを維持しておけば問題ありません。

標的型攻撃メール訓練を抜き打ちで実施する注意点

では、メール訓練を抜き打ちで実施する際、どんなことに気を付ければよいでしょうか。

適切な根回し・事前周知は必須

メール訓練を実施する際、抜き打ちで実施するにしてもある程度の事前周知や根回しは不可欠です。

不審なメールを受信した際の対応・報告フローを従業員に把握しておいてもらわなければ、訓練メールを送信しても成果につながらず、「訓練しっぱなし」とも言える結果に終わってしまいます。また、訓練対象部署の上長など、適切な人には根回しをしておくべきです。

TVなどのドッキリでも事情を知った仕掛け人が用意されているのが常です。意図せぬ騒動やヘイトに繋がらないようにしましょう。

報告ルートを整備しておく

訓練メールを受信した従業員が適切に報告できるよう、報告先窓口を用意しておきましょう。
基本的には社内の情報セキュリティ担当者になると思います。

対応・報告フローはわかりやすく文書化して、従業員が閲覧可能な場所に公開しておくのが望ましいです。

事後教育で成果につなげる

これが最も重要です。標的型攻撃メール訓練が「訓練しっぱなし」になってしまわないよう、しっかり成果につなげます。

具体的には、

  • 訓練実施に関するアンケート調査(気づいたか、適切な対応が取れたか、どう思ったか等)
  • 対応・報告フローの再確認
  • 見破り方の再確認
  • セキュリティ意識維持のための定期教育

あたりが必要です。

開封率にとらわれない

メール訓練では従業員の「開封率」を見るのがポピュラーかと思います。

ただ、それだけでは本質的な効果は測れません。

例えば、訓練メールであると気づいて安心して開封した従業員がいるかもしれません。攻撃メールではなく訓練メールのクセを見抜いて開封しなかった従業員がいるかもしれません。

開封率にとらわれず、本当に効果が出ているのか確認しましょう。

訓練結果を測る指標としては「報告率」を見るのがおすすめです。従業員が適切な対応が取れているということを直接的に知れるからです。

標的型攻撃メール訓練 ガイド&ToDoリストをダウンロードする

標的型攻撃メール訓練の失敗例

セキュリティ担当者がパンクしてしまった

標的型攻撃メールを受信したと気づいた際、多くの企業ではそれを報告することをルール化しています。そのため、理屈で言えば、訓練メールを受信した従業員の数だけセキュリティ担当者へと報告メールが送信されます。

もし、訓練の実施を事前に通告していれば、セキュリティ担当者は報告に対してテンプレートでかんたんな返事をするもしくは返事をしなくていいかもしれません。

しかし、抜き打ちで実施した場合、従業員は危険なメールに不安な状態です。セキュリティ担当者はすべての報告に丁寧な返事を返すことになり、パンクしてしまいます。

社内の混乱を引き起こしてしまった

メール訓練の多くは、本物の攻撃メールと見紛うように件名、本文など工夫を凝らして送信されることと思います。これを従業員が本物だと思い込んでしまった場合、注意喚起の意図があるにせよ、野次馬精神にせよ、社内で広く周知してしまう可能性があります。そうなった場合、注意喚起を見た従業員にとってその訓練の意義が半減してしまいます。

また、訓練メールを本物だと思い込んで騒いだ従業員の上長も、その対応のために不要な業務を強いられることにつながります。

そんなとき、情報セキュリティ担当者は恨まれてしまうでしょう。

従業員が訓練慣れしてしまった

これは、抜き打ちであってもそうでなくてもよくある失敗ですが、従業員が「訓練」に慣れてしまうことも考えられます。

訓練メールの内容を自作にしてもサービスのものにしても、作成者のクセが出てしまったり、そもそも同じような文面が何度も使いまわされたり、ということによって従業員が訓練メールを訓練メールと見破り、軽視してしまうことも考えられます。

そうなると、標的型攻撃メール訓練の意味は最早ほとんどありませんし、冷やかしで開封する従業員の発生など、開封率の数値も適切に取れなくなってしまいます。

本当に効果のある標的型攻撃メール訓練ならセキュリオ

標的型攻撃メール訓練の効果的な実施をお考えの方には、LRMのセキュリティ教育クラウド「セキュリオ」がオススメです。

多様な形式の豊富な文面テンプレートから従業員やグループごとの配信が可能。ユーザー数課金だから送信数無制限で送り放題、eラーニングミニテストで教育もし放題。

訓練結果のレポーティングもセキュリオ上でかんたんです!
また、「セキュリオ」では不審なメールを報告する「不審メール報告」機能も付いています。

ぜひ「セキュリオ」で本当に効果のある標的型攻撃メール訓練を体感してください。まずは無料ではじめましょう。

効果につながる標的型攻撃メール訓練
「セキュリオ」を無料ではじめる

まとめ

標的型攻撃メール訓練を抜き打ちで実施するメリット・デメリット、注意点などについてご紹介しました。

  • 適切な報告ルートを設置する
  • 最低限の根回し・事前周知はしておく
  • 事後教育で成果につなげる
  • 開封率にとらわれ過ぎない

といったことに注意して、自社に適した訓練方法を取ってください。

また、「セキュリオ」ではアンケート機能がついていますので、実施した訓練がどうだったか従業員にフィードバックしてもらうことが可能です。

社内アンケート | 機能紹介 | セキュリオ
従業員へのアンケートもかんたん作成・集計 従業員に対して様々なアンケートを実施できる機能です。 ...
www.lrm.jp

従業員としっかりコミュニケーションをとり、実りのある標的型攻撃メール訓練にしていってください。

こちらのガイドブック&ToDoリストもご活用ください。

ガイドブック付き!
標的型攻撃メール訓練ToDoリスト
チェック形式ToDoリストはこちら
チェックリスト画像
情報セキュリティ対策セキュリティ教育
セキュリオ従業員教育標的型攻撃メールメールセキュリティ
情報セキュリティ教育クラウド「セキュリオ」
タイトルとURLをコピーしました