はい、情シス課長です。
昨今では、多くの企業で「標的型メール訓練」を実施していると思います。
その背景には、日々、サイバーセキュリティの攻撃手法が進化し、攻撃を完全に防ぐことは不可能であり、マルウェア等によるサイバー攻撃をうけることを前提とした対策が重要であるとの認識が広まってきたということがあるといえます。
確かに、このような理解が深まったのは、いいことですし、マルウェアを完全に入り口(インターネットとの境界)で防げない以上、社員一人一人が怪しいメール(つまりマルウェア感染を目的としたメール)を開封しないようにする訓練を行うこと自体は、有効な手段といえます。
ただ、いざ「標的型メール訓練」を実施すると、企業では、「はてな??」と思うようなことが実際におきるのです。
いくつか挙げてみましょう。
①訓練を行うという通知がなかった!訓練なら訓練と事前に連絡すべきである!けしからん。
②他の課長からは、うちの部長が訓練メールを開いちゃったんだっけど、部下への手前もあるから、開けなかったことにしてくれないか。
③経営に訓練結果を報告すると、前回と比べて、開封率が下がっていないじゃないか?。訓練の成果がでていないということか?
といった具合である。①、②は、可愛げがあるといえますが、③の扱いは難しい。
確かに普通に考えると、訓練の目的が開封率の低下であると考えるのが自然である。
しかし本当だろうか? そもそも「標的型メール訓練」の作り方しだいで、怪しさ加減?!は、大きく変わってしまいます。前回より本物っぽいメールで、見分けるのが難しい場合は、当然、開封率は上がってしまいます。
経営に報告しやすいように毎回、徐々に分かりやすい「標的型メール」にすれば経営は納得するかもしれませんが、本当の意味で訓練にはならなくなってしまいます。
そこで、やはり、訓練の目的は、開いてしまった場合に正しい行動がとれるか、つまり正しい連絡先に連絡する等、企業が定めたアクションを社員がとれるか、その割合を高めることにすべきではないでしょうか?
コメント