サポート現場から標的型攻撃メール訓練をみる ~振り返り編~ 製品・サービスの活用方法

2019年2月26日

はじめに

こんにちは。前回の記事(サポート現場から標的型攻撃メール訓練をみる ~当日偏~)では、標的型攻撃メール訓練 の当日に配慮すべきポイントを説明しました。

今回のテーマは最後の振り返りです。

標的型攻撃メール訓練でいろいろと準備して対応した結果、円滑に実施できたとしても気になるのが結果です。

毎回の訓練においては、お金や工数をかけて実施していますので、目に見える結果を期待したくなると思います。

そこで振り返りのポイントをお話しします。

標的型攻撃メール訓練の振り返りで押さえるべきポイント

【開封率で訓練の結果を評価しないこと】

標的型攻撃メール訓練を実施した際に、効果を測る指標として「数値」を求めてしまい、ついつい「開封率」に目が行きがちです。しかし、本来の目的は、従業員に正しい対応を身につけてもらうことです。

開封率だけでは読みとれない、現場の状況をよくよく考察することが大切です。

そのためには、現場ヒアリングやアンケートを通して、状況を確認することが有効です。

実際に実施した訓練で状況を確認してみると、

  • 明らかに怪しい、自分とは無関係のため、メール自体をスルーしていた
  • 部署内で怪しいメールを共有されたので、メールを開封しなかった
  • 何も考えずに機械的に開いてしまった
  • 訓練と知ったので、あえて開いてしまった
  • 周りで騒いでいることを知ったので開かなかった

などの意見が見受けられました。

本来の目的に沿うとすれば、開封率が低かったとしても部署で共有されて注意喚起されていれば、訓練は成功だったと言えると思います。そのため、開封率などの数値を見るのではなく、訓練の目的に対しての結果がどうだったのかを振り返ることが大切です。

【訓練結果を改善に活かすこと】

訓練結果を改善につなげるためには、以下のポイントを確認することが大切です。

  • 不審なメールを受信した際に見分けるポイントを体感・習得できたか
  • 不審なメールを受信・開封した際にどのような行動を取るべきか対応ルールが浸透したか
  • 問い合わせ先部門においても不審メールの報告を受けた際の対処法がスムーズに実践できたか

これらのポイントに対して結果を確認し、必要に応じて「訓練メールの見直し」「初動対応の再教育」や、問い合わせ先部門での「体制や対応手順の見直し」などを検討することが大切だと思います。


以上、3回の連載を通して標的型攻撃メール訓練のポイントを説明してきました。

最後に、私が重要視するメール訓練の成功のカギをお伝えします。

標標的型攻撃メール訓練 成功のカギ

1.訓練の目的を明確にすること

訓練の目的は、従業員が正しい対応を身につけることです。そこから、さらにより具体的で明確な目的を設定することが大切です。目的によって訓練の対象範囲やメール内容、結果の振り返り内容が変わってきますので、最初の計画段階でメール訓練の目的を明確にすることが肝心と言えます。

例えば、メール訓練初回で、不審メールを受け取った際の行動を体感・習得することを重要視する場合には、全社員向けに訓練メールを送り、組織の対応状況を把握するといったやり方が良いでしょう。

また、不審メール受信後の対応手順が部署内に浸透しているかを把握したい場合は、当日のエスカレーション先のリソースを考慮し、訓練の対象範囲を絞って対応するという方法もあります。その他、全員に訓練メールを送ると、部署内で共有され、個人の訓練にならないということもありますので、対象者の個々人の行動を評価する場合は、ランダムに対象メンバーを選んで対応する方法が有効です。

どこにポイントを置くかで、訓練メールの内容も変わってきますので、主軸を持つことが大切です。

メール訓練の目的を明確に
2.訓練結果の考察がより深いこと

訓練結果について、アンケートや現場ヒアリングを通して実態を把握することが大切です。現場の状況を把握してこそ、改善ポイントが見えてきます。そのためには、コストはかかるかもしれませんが、訓練メールを送付して終わるのではなく、その後のアンケート実施や現場ヒアリングを通して、実態を把握することが重要と考えます。

アンケートや現場ヒアリングをもと基にレポーティング
3.訓練のみ実施するのではなく、「訓練⇒教育⇒訓練」を繰り返すこと

訓練の目的として、従業員に対処法をよく理解してもらうためには、従業員への教育が大切です。

実際にアンケートや現場ヒアリングをしてみると、「メール開封自体はリスクがあるのか?」といった意見や「メールは削除したが、その後どうすればよいか分からなかった」などの意見が出ます。

標的型攻撃メール訓練の種明かしメールで、訓練メールの不審なポイントや正しい対処法について案内することもできますが、メールでは長文となってしまい、メールを読み飛ばす従業員が多数発生することが予想できます。逆に、要約して案内すると、より深いポイントでの案内ができないなどの問題が発生します。

そのため、具体的なポイントを従業員に伝えるためには、説明資料を用いた教育が有効です。

また、教育については、実際に標的型攻撃メール訓練を体感した「直後」に、eラーニングや実地教育などを実施することが有効です。まさに「鉄は熱いうちに打て」です。定期的なセキュリティ教育を実施している場合にも、訓練直後に再度教育を行うことで、標的型攻撃の脅威を実感し、より効果的に理解を深めることができるでしょう。

「訓練⇒教育⇒訓練」の繰り返しとアンケート・現場ヒアリングで効果を確かめることが重要です。

メール訓練の目的を明確に

訓練直後のeラーニングサンプル

最後に

標的型攻撃メール訓練は、1回の実施だけで終わりではありません。継続して対応し、組織に正しい対処法が浸透することで、初めて標的型攻撃メール訓練はその本来の目的を果たしたと言えるでしょう。

しかしながら、訓練を継続していくと、マンネリ化し、「あんなことやっても意味がないのではないか」という意見や、「訓練メールと分かったので、何もしませんでした」などの意見も出てくるかもしれません。

防災訓練を思い出してください。定期的に何度も実施しますが、これを無駄と思う人や笑いながら階段を下りる人が少なからずいるかもしれません。しかし、従業員の多くがそういった意識を持つようになると、実際に災害に遭遇したとき、防災訓練の目的を果たすことができません。会社としては、そのような結果にならないよう、訓練の重要性や意義を伝え、教育に取り組まれているのではないでしょうか。

メール訓練も同じです。訓練をより意義のあるものにするためには、ひとり一人が、「サイバー攻撃から会社を守る」という意識を持ち、事故を発生させない、発生したときのリスクを最小限にするということを理解し、全員が関心を持ち、協力して行動するという風土を根付かせていくことが大切です。

そのためには、毎回の訓練がマンネリ化しないように、変化や仕掛けをつくること、また、まずは私たち、管理者、関係者の皆様が強い意識を持ち、その上で現場に語っていくことが第一歩ではないでしょうか。

これらを実践していくためには、経営者層も巻き込み、訓練の重要性を啓発していくことも必要と思います。


以上、ポイントをまとめてまいりましたが、私自身も改めてこれらのポイントを意識して対応していこうと思います。

著者プロフィール
篠 知佐

2012年より、社内外の問い合わせサポートを中心とするサポートセンターにてマネージャーとして業務に従事。ユーザの気持ちに寄り添い、よりよいサポートを目指す。
社内の標的型攻撃メール訓練では、サポート側として対応し、さまざまな生の声を収集、日々改善活動に奮闘。

【連載】サポート現場から標的型攻撃メール訓練をみる(全3回)

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ