標的型メール訓練って効果あるの?アンケート実態から解説 製品・サービスの活用方法

2019年8月2日

はじめに

2015年に経済産業省がIPAとともに策定した「サイバーセキュリティ経営ガイドライン」に沿って、サイバーセキュリティ対策を進める企業が増えてきています。その中でも、「インシデント発生時の緊急体制の整備」や「サイバーセキュリティに関する教育」の対応として、標的型メール訓練を実施したいが、その効果がよく分からないため、実施に踏み切れないという企業担当者の声をよく聞きます。

そこで、本コラムでは、実際に当社にて訓練を実施した際の従業員の反応とその後の効果についてご紹介します。

不審メールを開封してしまった・・・(ある社員、Aさんの体験談)

「ウイルス関連調査のお願い??」
Aさん宛に一通のEメールが届きました。

メールの差出人は、近くの部署の社員(と同じ苗字)から。
「あ~×田さんからのメールか。×田さん情報システム部だったかしら?」
と、Aさんは、部署名の表示にもほんの少しの疑問は感じつつもそのメールを開封しました。

メールには、こんな文章が表示されていました。

「え、ウイルス感染? 情報漏えい?どうしよう!」
普段あまり目にすることのないメールの文面に驚いたAさんは、「すぐ変更しなきゃ!」と即座にそのメールの指示に従って、本文内にあるURLをクリックしてしまったのです。

URLをクリックすると、パソコンの画面いっぱいにこんな画像が表示されました。

「うわっ! 何これ!?」
画像が目に飛び込んできた瞬間、普段見慣れぬ真っ赤な画像に動揺してしまいました。

「どうしよう。何か変なメールを開けちゃった!どうしたらいい?!」
と焦るAさんに、どれどれ・・・と冷静にAさんのパソコン画面をのぞき込む同僚。

「これ、標的型攻撃を模した社内訓練メールですね。ちゃんとここに書いてあります。問題ありませんね」
恐る恐る、先程の真っ赤な画像をよく見てみると・・・

赤い画像の下には、社内向けの訓練であることを教えてくれる詳しい記載が。

「動揺しすぎですよ。そもそもよく確認せずにURLリンクをクリックしたらダメですよね」
隣で呆れかえる同僚に、Aさんは一言の反論もできませんでした。

なぜAさんは不審メールを開封してしまったのか?

Aさんは、部門全体の事務処理を行う部署に所属しており、社内の事務処理や社員とのやりとりが主な業務内容でした。普段から書類提出やスケジュールの調整など締め切りに追われる業務が多く、届いたメールを反射的に開封してしまうことも多かったようです。

そもそもAさんは、「標的型攻撃」というサイバー攻撃があることを言葉として知ってはいたものの、「実際にはどういうものなのか」「メールを受け取ったときにどう対応すればよいのか」ということについては、十分に理解していませんでした。
また、毎年、情報セキュリティ教育は受けていたものの、実際に自分に不審メールが届くということは想定できておらず、反射的に開いてしまいました。

メール訓練後の意識の変化について

メール訓練後、Aさんの意識は変化したのでしょうか。

開封してしまったAさんは、同僚の指摘にとても恥ずかしい思いをし、改めて、反射的にメールを開かないように気をつけるようになりました。
また、後日、社内で実施された情報セキュリティ教育では、不審メールが届いたときの対処方法について、実際に訓練で受け取ったメールと照らし合わせることで、より正しい知識を身につけることができました。

開封:訓練メールのURLリンクや添付ファイルをクリックしたこと

今回は、Aさんを例にしましたが、実際に標的型メール訓練を受けた従業員において、どのような意識の変化がでているのでしょうか?
以下に、当社で訓練後に対象者向けに実施したアンケートの一部を紹介します。

アンケート内容

質問標的型メール攻撃に係る対処方法を見直し、ご自身の理解を確認しましたか?
選択肢1事前に対処方法を理解していた。
選択肢2訓練後に対処方法を見直し、理解した。
選択肢3訓練後に対処方法を見直したものの、理解に不安が残った。
選択肢4何もしなかった。

メール訓練アンケート

選択肢2の「訓練後に対処方法を見直し、理解した」という意見の割合が開封者、未開封者に関らず最も多く、Aさんのように意識が変化した人が多いことが分かります。
また、未開封者については、既に標的型メールの知識があり、不審メールに気づいた方が大半だったにも関らず、対処方法を見直す割合も多く、曖昧だった知識に対して改めて意識づけがされたということがうかがえます。

次に、定期的に訓練を実施した場合、意識の変化はみられるのでしょうか。初回と直近のアンケート調査を比較したところ、選択肢1の「事前に対処方法を理解していた」という回答の割合が継続的に向上してきており、対処方法が定着してきているということが分かります。

初回のメール訓練アンケート

直近のメール訓練アンケート

また、選択肢3の「訓練後に対処方法を見直したものの、理解に不安が残った」という回答の割合は減少してはいるものの依然として理解に不安が残ったと回答する方も存在している状況がみられますので、継続したフォローも必要といえます。

他にも、訓練を重ねるにつれて、被害拡大の抑止を図るための初動対応として未開封者の情報セキュリティ部門へのエスカレーション件数が増えてきているという変化もみえてきました。

メールを開封しなかった人におけるエスカレーション率

初回時には、メール送信件数に対して、エスカレーション件数が約2%程度だったのに対して、直近の標的型メール訓練時には、エスカレーション件数が約16%程度に向上しています。

実際には、部署内で共有されるため、エスカレーション率だけでは対処の習熟度の指標として評価はしきれませんが、実態として、初動対応の行動において、従業員の意識が変化しつつあるということがいえます。

標的型メール訓練の効果とは?

標的型メール訓練の実施効果として次のような効果があげられます。

  • 標的型攻撃メールがどういったものか理解できる
  • 被害拡大を抑止するための対処方法が分かる
  • 被害が起きてしまったときの対処と報告先を確認できる

ここで例に挙げた標的型メール訓練では、訓練の直後にeラーニングを利用した教育を実施しています。訓練+教育によって、上記のような効果が出てきていると分析することができます。

実際に、Aさんに直近の標的型メール訓練における行動をヒアリングしてみたところ、直近の訓練では、不審メールであるということに気づき、URLリンクや添付ファイルは開かず、周囲のメンバーに確認をして、情報セキュリティ部門へエスカレーションをしたそうです。

今までセキュリティ教育を何度も受けてきましたが、実体験を通して経験することで、対応についての理解が深まったとのことでした。

最後に

標的型メール訓練の効果を図るためには従業員のインシデント発生時の対応に関する理解度を図ることが有用です。

一般的によく聞く、「訓練メールに添付されるファイルやURLに対するクリックの有無」を確認する『開封率』だけで評価するのではなく、『エスカレーション率』や標的型メール訓練時の従業員の意識や行動のアンケートを行い、集計することで、分析することができます。

また、標的型メール訓練と組み合わせてのインシデント発生時の教育を実施することで、有事の際の対処や報告を従業員が実践できるようになります。

標的型メール訓練の実施に踏み切れていない企業のセキュリティ担当者様には是非、本事例を参考にして、ご検討いただければと思います。

京セラコミュニケーションシステム株式会社
Secure OWL Center 西日本セキュリティサービス課
標的型メール訓練担当チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ