標的型攻撃メール訓練の目的と効果測定のポイント
標的型攻撃メールによる被害の報道があるたびに、標的型攻撃メール訓練サービスへのアクセスや問い合わせが増えています。しかし、「会社のポリシーだから」「流行っているから」「やれと言われたから」という企業様もおられるのも現状です。
今回は、標的型攻撃メール訓練で効果を上げるために考えておきたい、目的と効果測定の仕方についてご紹介します。
標的型攻撃メール訓練の目的
標的型攻撃メール訓練とは、自社の従業員に標的型攻撃メールを模したメールを送信して訓練したり、標的型攻撃に対する知識を伝えることで、情報漏えいなどのリスクを抑制するものです。
標的型攻撃メール訓練の目的は、「標的型攻撃メール経由のウイルス感染による情報セキュリティのリスクを低減する」ことです。
具体的には、従業員の標的型攻撃に対する知識・意識を高める「社内教育」と、実際に訓練メールを実施してどのくらいの従業員がリスクのある行動をとるか、どのようなときにリスクが大きくなるかなどの「リスク分析」という2つの側面を担っています。
社内教育
標的型攻撃メールは、なんの疑いもなくメールの添付ファイルを開いたりクリックしてしまうことで感染します。これはつまり、メールアドレスを持つ社員全員に可能性がある、ということです。
社員全員が「受信メールからウイルスに感染するリスクがあること」を知り、日頃から意識し、見分け方や万が一の場合の行動・窓口を知ってもらうことで、予防や事後対応に大きな効果をもたらします。
セキュリティリスク分析
自社の訓練の結果を分析し、今のリスク状況を知り、対策につなげます。例えば添付ファイルの開封率やURLのクリック率、文面や差出人による違いなどを分析して、重点的な対策や教育に活用します。
また、部署ごとで開封率を測定して部署ごとに声かけしてもらうなど、組織の中で話題にしてもらうことで分析結果から教育につなげていく効果もあります。
メール訓練のノウハウと
効果的な進め方教えます
標的型攻撃メール訓練の効果測定
目的があれば、その目的が達成に近づいているかどうかの効果測定が必要です。
「開封率がどの程度まで下がったらよいと考えればいいでしょうか?」というような質問をよくいただきますが、Selphishチームでは、「数値が下がることだけを効果としないほうがよい」ということをお伝えしています。
数値が下がるのは、教育の効果のほかにも様々な要因が挙げられます。例えば訓練だと分かりやすい文面のために開封率が下がったり、これまでにないパターンで高くなる場合もあります。
自社のポリシーに沿った報告がどのくらいあったか、また、訓練後の対象者アンケートから「標的型攻撃」に関する理解度や窓口・対処方法の普及具合など、さまざまな視点で効果測定するのが望ましいでしょう。
アンケートでは、「標的型攻撃とは何か知っていますか?」「訓練があることは知っていますか?」「感染が疑われる場合にすべき行動は知っていますか?」などの項目とともに、知ってもらうためのコンテンツの準備も必要です。
標的型攻撃メール訓練は意味があるのか
「標的型攻撃型メール訓練は意味があるのか」といった声を聞くことがあります。もちろん、訓練をしたからといって完全に防ぐことができるものではありません。ただ、効果があるかどうかということに対しては、Selphishチームでは自信を持って「ある」とお答えします。
なぜなら、Selphish運営会社である神戸デジタル・ラボで標的型攻撃メール訓練を受けるようになり、受信したメールに対するチェック意識が高まったと実感しているためです。怪しいメールは報告したり自分から注意喚起するような行動につながっています。訓練があり注意喚起があり定期的に情報に触れることで、添付ファイルやURLに一歩とどまって確認する癖がつくようになります。
ただし、偽の標的型攻撃型メールを送るだけでは、訓練の効果は半減してしまいます。標的型攻撃メール訓練の効果を上げ、意味のあるものにするには、まずは「なんのためにやるのか?」「何を持って効果とするのか?」を意識していただくとよいと思います。
標的型攻撃メール訓練「Selphish(セルフィッシュ)」
「Selphish」は、必要に応じてお支払いいただくチケット制で、シンプルで使いやすい面がご好評いただいています。
また、必要に応じて導入のアドバイスや効果測定の方法なども支援させていただきます。
お試し利用もできますので、どうぞご検討ください。
メール訓練のノウハウと
効果的な進め方教えます