新年度が始まりました。新入社員や異動に伴い新たな部署で、情報セキュリティ研修を受講した人も多いかと思います。

研修の効果やセキュリティ耐性を確認できるツールには、メール訓練サービスがあり、新入社員や初めての人を対象に実施されるお客様もいらっしゃいます。
初めて訓練を受ける場合は毎回同じ内容でもよいのですが、毎年訓練を実施するほど文面や訓練のタイミングが似通ってしまいがちです。
例年通りでも効果はありますが、送信内容やタイミングを少し工夫してみると、さらに効果的な訓練になり、セキュリティ意識の向上が見込めます。

「工夫って実際にどうするの？」と思ったときに役に立つのが、一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会（以下、日本シーサート協議会）が発行した「メール訓練手引書」（以下、手引書）。

日本シーサート協議会に加盟する企業で、自社内で実際にメール訓練を実施しているセキュリティ担当者が集まり、どのように訓練の計画を立てるか、どのようにレベルアップを行うかをまとめた冊子です。

手引書はこちらから入手できます。
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html

昨年よりレベルを上げたいと考えている人はぜひ参考にしてみてください。

【訓練の目的の再確認してみましょう】

セキュリティ教育の一環として導入するメール訓練サービスですが、改めてなぜ導入し、なぜ訓練するのか？を確認してみましょう。

下記は手引書に記載されている目的の一例です。自社がどういった状況でどのような効果を得るためにどの目的を設定するかで計測すべき指標も変わってきます。
・リテラシー教育の一環として
・不審メールの開封率を下げるため
・セキュリティ意識向上のため
・開封後の初動を確認するため
・インシデント通報の定着のため
・攻撃メールに対する耐性を高めるため
・不審メールが増えていることを定期的に気付かせるため
・開封率の特に高い組織や人を特定するため

例えば、「開封後の初動を確認するため」では、社内で定めたルールに従った行動ができているかがポイントになります。そのため、訓練の前に対応手順を周知したり、訓練では対応が出来ているかを計測したりする必要があります。

また、「不審メールが増えていることを定期的に気付かせるため」では、訓練後の教育や最新の脅威の情報提供などを重点的に実施することになるでしょう。

例年一つの目的のみで実施していた場合は、自社の状況に応じて別の目的を設定し、目的に応じた訓練を実施することで、より効果的な訓練が実施できます。

【訓練のステップアップを検討してみましょう】

自社のセキュリティ耐性に応じて、訓練内容を調整することでより訓練の効果が高まります。

例えば、初めて訓練を実施する際は現状把握として、実施。その後コンテンツの開封率が高い人や部署、役職のみを対象に教育を実施し、再度訓練を実施する、といった流れが考えられます。

弊社のお客様でも、まずはほぼ抜き打ちで訓練を実施し、セキュリティ耐性の現状把握をしている例があります。
また、訓練を始めたばかりのころは事前に案内を出していたお客様では、事前案内をなくし、また、送信タイミングをバラバラにすることで、より高度な訓練に取り組んでいらっしゃいます。

【訓練の要素をレベルアップしてみましょう】

一つの訓練に対して、よい結果が維持できるのであればメール文面やタイミングを変更して、レベルアップを検討してみましょう。

一般的に、事前告知があり、攻撃メールと見分けるポイントが多い訓練だと、攻撃メールかどうかを見分けることが容易となります。そのため、レベルアップには大きく分けて方式と文面の2パターンがあります。

方式をレベルアップ

事前案内を出している場合には、事前案内をなしにしてみてはいかがでしょうか。毎年決まった時期に実施している場合は、数か月にわたって日時をバラバラに配信してみるなどの工夫ができます。また、訓練対象者も一律ではなく、役職や部署もバラバラにするとさらに効果が高まるでしょう。

文面をレベルアップ

手引書によると、「はじめは一般的に世の中で出回っている文面で実施し、（ＵＲＬや添付ファイルの）開封率が下がってきたことを確認したのち、文面を高度化していく（例：識別ポイントを減らす、企業固有の知識・用語をメール文面に含める）とあります。（特に企業固有の用語は難易度が高くなりますが、なりすましメールでは盗聴したメールを悪用する例もあるため、検討されてはいかがでしょうか。

また、テレワークが進んだ現状では、「コロナ禍特有の攻撃パターンを取り入れることが有効」ともあり、例として、「オンラインミーティング関係のトピックスを取り入れる」「利用が増えているウェブ会議システムのアップデートに関するメールを題材にする」などが挙げられています。

【開封率の考え方】

方式や文章の難易度を高めると、URLや添付ファイルの開封率がどうしても高くなります。弊社のお客様でも高度化するとコンテンツの開封率が高くなったという例もあります。

手引書では、「訓練や教育を繰り返し実施していくことで1桁台（一般的には5％前後）まで抑えることが可能になる」とのこと。
地道な訓練と教育がセキュリティ教育の礎ということでしょう。

訓練の指標では、開封した人がルールに則って適切な部署に連絡できたかを見る通報率もあります。弊社で提供しているメール訓練においては、開封した人が適切な通報、行動ができているかを確認することを重視しており、手引書においても「訓練や教育の効果があれば、値の着実な上昇がみられるので、重要なモニタリング指標」とされています。

開封率は文面や時勢によっても変わるため、ぜひ通報率もモニタリング指標として計測してみてはいかがでしょうか。

【開封した人へのフォロー・教育 】

手引書では報告を褒めることの重要性についても触れています。

「クリックしてしまうこと、開封してしまうことが、「個人のミス」として位置付けられているならば、（中略）自らのミスを進んで開示することなど考えられません」。そのため、開封したという報告を褒めることで報告を期待していると示し、早期に報告する文化を醸成することが重要です。

何より、開封したことを隠すようになると、本当に攻撃されたときに検知できません。
こちらのブログでも解説していますので、ぜひご一読ください。
https://www.proactivedefense.jp/blog/post-3414

【まとめ】

メール訓練サービスの目的や手法、仕組みを丁寧に検討していくと、訓練の効果をより向上できるヒントがありそうですね。
ぜひ、ご覧ください。