アンケートで効果測定:メール訓練後の振り返りがセキュリティ教育を促進する
メール訓練を行うと添付ファイルの開封やURLリンクをクリックした対象者の人数で、企業における標的型攻撃・フィッシングメールに対する耐性がわかります。
しかし、どのような意図で開封したか、数字だけでは判断が難しいところです。例えば普段から怪しいメールに気を付けている人が、外出中でついうっかり開封してしまったのか、普段からセキュリティの意識が高くない人が普段通り開封したのか。
訓練の効果や今後のセキュリティ教育の見直しを考えるうえでは、どのような状況や判断で開封したのか知っておきたいところですね。
そんなときに役立つのが、訓練実施後のアンケート。
訓練後のアンケートは、参加者の意見や感想を収集し、訓練プログラムの改善に繋げる貴重な手段です。
前述の開封をした際の意識や訓練の満足度、訓練のタイミング・手法についてのフィードバックを訓練参加者から直接聞くためにも、アンケートがおすすめです。
今回のブログでは、アンケートの重要性とメリット、具体的な質問例について解説します。
より効果的な訓練体験を実現するために、アンケートを活用しましょう。
■アンケートのメリット
1.セキュリティ教育の効果が測定できる
一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会(以下、日本シーサート協議会)が発行した「メール訓練手引書」(以下、手引書)では、全体アンケートによって「訓練に気がつき、クリック(開封)しなかった対象者からの情報を集計すること」ができると記載されており、教育の効果を測定することができます。
例えば攻撃メールの見分け方を事前に研修したにもかかわらず、見分け方を覚えていないという回答が多ければ、研修の内容や手法を見直した方がよいかもしれません。
2.訓練メールに対して、どのように気づき反応したか分かる
訓練時に意外と多いのが、訓練そのものに気づいていないことです。Selphishの運営会社である神戸デジタル・ラボでメール訓練を実施した際も、「そもそも訓練メールだということに気づいていなかった」という人がいました。確かに忙しいときはメールを未読のまま放置していることがありますよね。
訓練の目的にもよりますが、日々たくさん送られてくるメールの中から攻撃メールを見抜く力を上げることが目的であれば、事前告知を行うなどの対策が必要かもしれません。
3.送信・測定結果のエラーに気付くことができる
アンケート機能によりますが、回答者1人ずつの回答と開封結果を突き合わせれば、本人の開封・未開封の意識と実際の結果に差異があるか確認できます。
Selphishのアンケート機能では、回答者ごとの回答抽出が可能です。
テレワークを導入されている企業では開封元のIPアドレスが会社以外のIPアドレスとなってしまうため、セキュリティ対策製品の検疫による開封かそうでないかを判断することが難しくなります。
アンケートで個別に確認をおこなうことで対象者による開封か否かを確認することもできます。また、そもそも迷惑メール扱いとなって、送信は完了していても対象者が認知していないこともあります。
日時を変えても違う部署でもメールがきちんと届かない場合は、メール送信設定を見直すことも必要です。
4.インシデント対応・初動対応を知っているか確認できる
訓練の目的にもよりますが、Selphishチームとしてはぜひ確認いただきたい内容です。
メール訓練ではどうしても開封結果に目が行きがちですが、開封した人が適切な対応を知らないと、もし本当に攻撃メールが届き、誤って開封してしまった場合、被害が大きくなりかねません。
万が一不審なメールでリンクやファイルを開いてしまった場合に、素早く適切な対応を取れる人が増えるほど、組織のセキュリティレベルは向上していきます。
開封率の考え方については、こちらのブログでも解説していますので、ぜひご一読ください。
【メール訓練】開封率が全てではない?サービス提供者が重視するポイントとは
https://www.proactivedefense.jp/blog/post-3414
メール訓練のノウハウと
効果的な進め方教えます
■アンケート質問例
アンケートを取った方がよいことはご理解いただけたと思いますが、では実際にどのような質問項目がよいのでしょうか。
日本シーサート協議会の手引書では例として下記の質問が記載されています。
アンケート項目例
Q.メール訓練に関する教育を受けましたか?
Q.メール訓練があることを知っていましたか?
Q.訓練メールに気が付きましたか?
Q.不審なメール(訓練メール)をどの時点で気付きましたか?
Q.メール訓練の事前予告は必要ですか?
Q.メール訓練は役に立ちましたか?
Q.メール訓練の継続を希望しますか?
Selphishではアンケートのテンプレートを用意しており、基本的な質問項目はすぐに使えます。
上記のような基本的な質問はなるべく変更せず、研修の効果や訓練の手法などについての質問を追加すると次回の訓練に生かせるヒントとなります。
■アンケートツール
Googleフォームなど無料のアンケートツールも視野に入ります。しかし、メール訓練とは別のサービスでアンケートを作成し、訓練対象者全員に別のメールで送るとなるとやや手間が増える印象があります。
メール訓練サービスの中にはアンケート機能があるタイプもあり、Selphishにもアンケート機能があります。
Selphishでは、追加費用なしで訓練対象者にアンケートが実施できます。
さらに、
・テンプレートありで基本的な質問に悩まない
・質問項目の追加、変更も無料で何回でもOK
・集計も自動で、PDFレポートあり
・回答者ごとのCSVエクスポートも可
と使いやすい機能が盛りだくさん。
「マニュアルがなくても使えました」という声が届くSelphish。無料ですべての機能が使える「無料デモ環境」で体験してください。
無料デモ環境のお申込みは、問い合わせフォームより、「全機能訓練の無料体験お申し込み」の旨を記載ください。
問合せフォーム<https://security-academy.jp/inquiry/
いくら高機能のセキュリティ対策製品を入れても、未知の攻撃には100%対応できません。最後に判断するのは、実際に訓練を受ける方一人ひとり。従業員皆さんがサイバー攻撃の最後の砦となるよう、メール訓練をご検討ください。
メール訓練のノウハウと
効果的な進め方教えます
