メール訓練の効果を高めるために必要なことは?
「効果的なメール訓練を実施するにはどうすればいいですか?」
というご質問をときどきいただきます。
特に初めて訓練をする場合は、様々な考慮すべきことをお伝えしております。
メール訓練の効果を高めるために考慮すべき様々な事柄について、概要をご紹介します。
訓練の目的は何か?
効果的なメール訓練の方法についてのご質問には、まず「目的が何か?によって異なります」とご回答しています。
例えば、初めての場合はまず自社の現状を知りたい、という方もいらっしゃいます。何度か訓練をするにつれて、どこにリスクがあるか知りたい、攻撃メールというリスクがあることを周知させたい、報告を定着させたい、など目的も変化します。
効果的な訓練の方法は?
目的によって訓練の方法も異なります。
まず自社の現状を知りたい、という場合、例えば開封しても訓練とわからないようにすることで本当に攻撃があった場合のリアルな反応を見ることができるでしょう。
教育が目的ならば、開封者向けの教育コンテンツを作成するなど、教育のための準備が必要です。攻撃メールの認知度を知りたい場合はアンケートなどを利用する方法もあります。
報告など、開封してしまった場合の行動が社内規定等により決められている場合は、それが周知されているか、徹底されているかを見るために、事前に取るべき行動を訓練対象者に周知しておくのがよいでしょう。
訓練対象者の人数が多い場合は、報告の対応の負担が大きい場合も考慮して、送信の時間を分散させたり窓口対応の工夫も必要です。
開封率を低減するためなら、訓練後のフィードバックが重要になります。訓練結果に基づき、各受講者に具体的なフィードバックと改善策を提供します。どのようなポイントで判断が間違っていたのか、どのようにすれば詐欺メールを見分けられるのかを説明することで、次回以降の理解度が向上します。
訓練は何回やるのが効果的?
訓練は、決められた回数で終わるというものではありません。自社の規模や目的、訓練の工数や費用に応じて「年間に何回実施するか」を決め、毎年継続的に実施することをお勧めします。理由は次の3つです。
セキュリティ意識の継続のため
訓練直後はセキュリティ意識が高まっていても、時間が経つにつれて、情報に触れることがなければだんだんと意識は低下します。定期的な訓練が日頃のセキュリティ意識の維持・向上に役立ちます。
人の入れ替わりに対応するため
組織は必ず人が入れ替わります。退職者や新入社員、中途採用など入れ替わるたびに、訓練を受けていない方がいることになります。新しい採用がリスクとならないように注意が必要です。
トレンドが変化するため
標的型攻撃メールのトレンドは、時代によって変化します。例えば、新型コロナウイルスのまん延の時期には、感染予防対策関連の標的型攻撃メールが増大しました。Emotetなどのマクロが仕込まれたファイルの送付なども記憶に新しいのではないでしょうか。
どんな攻撃メールが増えている、ということを従業員に周知する機会としても、継続的な訓練は有効です。
大規模な訓練を複数回行うのは難しいが、開封率が高く不安がある、といった場合は、開封した対象者のみに再訓練するなど、ピンポイントな訓練も検討されるのもよいでしょう。
開封率はどのくらいならいいの?
開封率は、極論を言えばゼロになるのが望ましいと言えます。ただ、ゼロを目指すのは現実的ではなく、また開封した人が責められる対象と認識される可能性があるため、お勧めできません。また、開封率はメールの内容によってもかなり変わるため、訓練内容が異なれば数値だけで比較するのは難しい部分もあります。
また、訓練によってどのような手口があるのか?どこに注意すべきか?を知ることも重要なポイントとなるため、開封することがそれらを知る機会ともいえます。
1回、2回の開封率で一喜一憂するのではなく、長期的に全体的な開封率の低減を目標としつつも、「報告率」の向上を目指していただくことをお勧めします。
報告率を上げるには
では、報告率を向上させるにはどうするのがよいでしょうか。
主に2つのポイントがあります。
報告した際に褒める
不審なメールが来たことや、開封してしまったことを報告することを周知し、報告された場合には対象者を「褒める」ことが重要です。「報告ありがとう、あなたが報告してくれたおかげで、組織が守られます。」というような声かけによって、報告の定着を促すことができます。
逆に、一番やってはいけないことは開封の報告を叱責することです。
報告すれば叱責されるとなれば、開封したことを隠すようになる可能性があります。報告されずに被害が拡大し、大きな問題に発展する可能性が高まります。
開封したとしても、速やかな報告があれば被害を最小限にとどめることができます。
報告と対応の環境を整える
報告の仕方を周知するのも大切ですが、報告先、報告の仕方が分かりやすく、簡単に報告できることも重要です。
例えば、指定のメールアドレスに報告する、という規程になっている組織も多いようですが、「不審メールが社内から転送されてくることがあり、クリックしてしまわないか不安」「報告の仕方がマチマチで、分かりにくい場合がある」「メールアドレスが探し出せなかった、と個人のメールに報告される」などのお悩みを聞くことがあります。
報告する方からすれば、「どのように報告すればいいか分からない」「指定のアドレスにメールすることは知っているが、メールアドレスを毎回探している」という状態かもしれません。
このような場合は、報告先と報告用のフォーマットを、従業員がすぐわかる場所に記載しておく、という工夫で改善する可能性もあります。
報告フォームや、メールクライアントの報告用の拡張サービスなどを利用する、という方法もあるでしょう。
また、報告が増えることは喜ばしいことですが対応の負荷は高くなります。すぐ気づいて重要度を速やかに確認でき、報告者を褒めることができる環境を作ることもまた、報告率を高めるためには大切です。
教育と同時に整備されることを検討してみてはいかがでしょうか。
まとめ
いかがでしたでしょうか。効果的な訓練、とひとことで言っても、目的に応じて方法は様々です。また、訓練を続けるうちに、訓練以外の課題や工夫できることが明らかになる場合もありますので、さまざまな観点で環境を整えていただくとよいと思います。
効果的にメール訓練がしたい、と考えた時に役立つのが、一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会が発行した「メール訓練手引書」です。
日本シーサート協議会に加盟する企業で、自社内で実際にメール訓練を実施しているセキュリティ担当者が集まり、どのように訓練の計画を立てるか、どのようにレベルアップを行うかをまとめた冊子です。
メール訓練の準備から実施、最適化まで網羅的に解説されていますので、ぜひ参考にしてみてください。
日本シーサート協議会「メール訓練手引書」はこちらから入手できます