メール訓練の効果を最大化するフィードバックの活用法
現在のビジネスシーンでは、情報セキュリティの重要性がこれまで以上に高まっています。特に、標的型攻撃メール(フィッシングメールなど)対策は、社員のセキュリティ意識を高めるために不可欠です。
標的型攻撃メール訓練を効果的に行うためには、訓練内容だけでなく、その後のフィードバックも非常に重要です。そこで本記事では、セキュリティ担当者や教育担当者、IT管理者の皆様に向けて、メール訓練の効果を最大限に引き出すためのフィードバックの活用方法を解説します。
フィードバックの種類とその効果
メール訓練後に提供されるフィードバックには、以下のような種類と効果があります。
| 種類 | 内容と効果 |
|---|---|
| 即時フィードバック | 訓練直後に提供されるフィードバックです。直ちに自分の行動を振り返ることができます。 例:フィッシングメールの危険部分を説明するメッセージを開封後即座に送信。 効果 |
| 定期的フィードバック | 定期的にまとめたフィードバックを提供します。 例:毎月のセキュリティ訓練の結果をまとめたレポートを配布し、全体の傾向や改善点を共有。 効果 |
| 個別フィードバック | 各従業員に対してパーソナライズされたフィードバックを提供します。 例:開封が多い、または開封しても報告がないことが続いている従業員へ具体的な改善策を示す。 効果 |
| グループフィードバック | チームや部署単位でのフィードバックを提供します。 例:高い開封率の部署に対して強化策を提示。 効果 |
Selphishでは、メール訓練後のフィードバックとして即時フィードバックを提供しています。具体的には、従業員がリンクや添付ファイルを開封した際に、「開封時表示コンテンツ」と呼ばれる種明かしが表示される仕組みです。
この開封時コンテンツにより、従業員は自分がフィッシングメール訓練に引っかかってしまったことを即座に認識できます。その後、さらに詳しい学習のために「教育コンテンツ」として用意されたPDFやURLに誘導することができます。
Selphishの即時フィードバックは、従業員がその場で自分の行動を振り返り、次回からの対策をより効果的に行えるようサポートするものです。このプロセスを通じて、企業全体のセキュリティ意識を高めることが期待できます。
開封時表示コンテンツのサンプル1
開封時表示コンテンツのサンプル2
効果的なフィードバックの提供方法
フィードバックを効果的に提供するためのポイントをご紹介します。
具体的かつ明確な内容
フィードバックはできるだけ具体的にしましょう。曖昧な指摘ではなく、具体的な行動例や改善点を示します。例えば、「メールの送信者アドレスを確認する癖をつけましょう」といった、すぐに行動につなげられるような指示が有効です。
ポジティブなフィードバックも実施する
注意を促すフィードバックだけではなく、良い点を強調することも重要です。ポジティブなフィードバックは従業員のモチベーションを高め、次も気を付けよう、という意識を持つことができます。例えば、「今回の訓練では、このチームのほとんどが報告できていました」といったコメントを追加します。
タイムリーな提供
フィードバックはタイムリーに提供することが重要です。遅すぎると従業員の記憶が薄れ、効果が減少します。訓練後すぐにフィードバックを提供することで、従業員がその場で認識し、次に活かすことができます。
双方向のコミュニケーション
フィードバックは一方通行ではなく、双方向のコミュニケーションを心がけましょう。従業員からの質問や意見を受け入れ、対話を促します。例えば、フィードバックセッションを設け、従業員が疑問点や改善策を共有できる場を作ることも有効です。
フィードバックの提供は、従業員の行動改善とモチベーション向上に大いに役立ちます。フィードバックの質を高めることで、組織全体のセキュリティ対策も一層強化されるでしょう。
また、以下の記事でも述べていますが、訓練担当者へ「開封してしまった」などの報告があった際には、𠮟責しないことが重要です。「開封=失敗」となると、本物の攻撃に遭ったときに叱責を恐れ隠蔽する傾向にあるためです。
むしろ、開封時即座に報告する文化を作ることでインシデントを早く発見し対応することができます。報告したことを褒める、というフィードバックを推奨しています。
一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会 メール訓練手法検討サブワーキンググループ作成のメール訓練手引書にも同様の記載があります。
メール訓練手法検討サブ WG|ワーキンググループについて|活動内容|CSIRT – 日本シーサート協議会
フィードバックを基にした訓練の改善
フィードバックを効果的に活用することで、訓練自体の質を向上させることができます。以下のステップで訓練の改善を図ります。
データの収集と分析
訓練結果と従業員からのフィードバックをデータとして収集し、分析します。次に、どの部分が効果的であったか、改善が必要な点は何かを明確にします。データの収集には、訓練結果のスコアリングやアンケート調査を活用します。
Selphishの場合、個人ごとの開封結果を時系列で確認する機能があります。また、アンケート機能も無料で提供しているため、訓練対象者がどうして開封したのか/しなかったのかを詳細に確認することができます。
改善策の策定
分析結果を基に、具体的な改善策を策定します。例えば、セキュリティ教育の見直し、訓練内容の更新、フィードバック方法の見直しなどです。改善策は、具体的なアクションプランとして従業員に共有しましょう。
Selphishの過去ブログ記事でもセキュリティ教育に役立つ情報をまとめています。
ぜひ参考にしてみてください。
訓練とフィードバックのプロセスは継続的な改善が必要です。PDCA(Plan-Do-Check-Act)サイクルなどを活用し、繰り返し行いましょう。定期的なレビューと評価を行い、次の訓練計画に反映させることで、セキュリティ教育が効果的に改善されます。
事例紹介:成功事例
ある企業では、Selphishによる即時フィードバックと開封者のみに実施する個別フィードバックを組み合わせることで、低い開封率を維持しています。個別フィードバックでは、開封したこと責めるのではなく、どうしたら見分けられるようになるのかや、判断できない場合にどうするかをじっくり会話したそうです。従業員のモチベーションを下げずにフィードバックができたことで、2回目の訓練で開封する人は激減しました。
まとめ:持続的な改善のために
フィードバックは、セキュリティ訓練の効果を最大化するための重要な要素です。具体的かつタイムリーなフィードバックを提供し、PDCAサイクルを活用することで、訓練の質を継続的に改善できます。従業員のセキュリティ意識を高め、企業全体のセキュリティレベルを維持・向上させるために、効果的なフィードバックの提供を実践していきましょう。
Selphishでは、訓練対象者一人ひとりに対して、部署や担当業務など属性情報を自由に追加できます。そのため、部署ごとや入社年次などさまざま観点から開封率の傾向が確認できます。
また、無料で使えるアンケート機能や訓練の結果を比較できる機能など、効果的なフィードバックに役立つ機能がたくさんあります。
有償版のすべての機能が無料で使えるデモ環境を用意しています。
3営業日ほどで準備できます。
お問合せフォームより、デモ環境希望と記載してお申し込みください。
