自社で初めて標的型攻撃メール訓練を実施する際、どうやって実施するか悩む方は多いのではないのでしょうか。

Selphish（セルフィッシュ）のお客様からも、どのような文面にするか、事前に案内はした方がよいか、などたくさんのご相談をいただきます。
そこで今回は自社で初めて訓練を実施する方を対象に、Selphishを例にした訓練の進め方を紹介します。あくまで一例となりますが、参考にしてみてください。

なお、対象となるレベルは一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会　メール訓練手法検討サブワーキンググループ作成のメール訓練手引書（以下、手引書）の「１st STEP（社員の標的型メールに対する耐性、リテラシを測定する現状確認のフェーズ）」を想定しています。

１．目的を明確にする

なんとなく訓練を行うと、結果を見ても「あれ？この結果で何が分かるの？」「この開封率はどう判断するの？」と、せっかくの訓練の結果を生かせずに終わってしまいます。また、訓練実施までの手間や時間がもったいないので、目的は明確にしましょう。

初めての場合は、自社の現状を把握し改善施策を検討するために、次のような目的を設定するとよいでしょう。
・現状のセキュリティ耐性を確認する
・特に開封率（※）の高い部署など属性を特定する
※開封率＝訓練用のリンクや添付ファイルをクリックしたり開封したりした人の数/全送信数

開封率が高いと実際の攻撃メールが届いた際に、ランサムウェアなどの被害に遭いやすいためです。

２．把握すべき数値を確認する

訓練の目的が決まれば次は取得・把握すべき数値を確認します。

訓練実施後に「あの数値を取得していなかったから、効果が把握できない…」ということにならないために、どうすればセキュリティ耐性を確認し、開封率の高い部署を特定できるか考えてみます。

セキュリティ耐性を確認するためには、自社の平均値としてどのくらいの人がリンククリックや添付ファイルの開封を行ったかを知る必要があります。

初めての訓練であれば基準となる開封率がないため、目標開封率は設定しなくて大丈夫です。（なお初めての訓練の場合、高ければ数十％、低くても一桁％と言われています）

開封率の高い部署を特定するためには、部署ごとにグルーピングした開封率も必要です。そのため、下記2点を集計できるようにしましょう。

１．全体の開封率
２．部門など属性ごとの開封率

一般的なメール訓練サービスであれば、全体の開封率は取得できます。

Selphishでは、全体の開封率に加え、訓練対象者のメールアドレスを登録する際に部署や支店名、役職などを自由に設定できるので、グループごとの集計も管理画面で確認できます。自動で開封結果を集計できるので、とても便利です。

３．実際の手法を検討

訓練の目的と把握すべき数値が決まれば、次はどのように訓練を実施するかを検討します。
検討事項は下記のようなものがあります。

a. 事前案内の有無
b. 社内共有
c. 訓練の日時
d. 集計期間
e. 送付する文面
f. リンク形式か添付ファイル形式か

一つずつ確認していきましょう。

a．事前案内の有無

案内しないほうがより現実に即した状況を確認できますが、何も知らない社員からの問い合わせが殺到する可能性もあり、悩ましいところです。かといって日時まで案内すると、普段通りの行動かどうかが確かめられません。

そのため、初めての訓練で事前案内を行う場合は「〇月～〇月の間に標的型攻撃メールの訓練を実施します」というように期間を設けてアナウンスするのがよいでしょう。

アナウンスする際に、不審なメールが届いた場合の対応方法なども同時にアナウンスすることで、セキュリティ意識の向上も見込めます。

b．社内共有

前述の手引書には案内先として、下記の部署が記載されています。

・訓練対象者のセキュリティ部門担当者（社内ユーザーサポート部門）
・SOC、情報システム部門

セキュリティ担当者には問い合わせがあった際の対応を伝えます。

情報システム部門には、メール訓練が円滑に実施できるよう連携が必要です。特にセキュリティ対策製品により訓練メールが届かない場合は、調整が必要なため、送信元IPアドレスや送信メールドメインなどの情報を準備しましょう。

訓練実施には、社内の理解と協力も重要です。 係長・主任など現場のリーダーまで訓練の意義や必要性を粘り強く伝えることで、より効果的な訓練が実施できます。

特に、開封率が高いことを責めるものではないことを強調して伝えましょう。開封を責めてしまうと実際に攻撃を受けた際に報告や対応が遅れ、被害が拡大する恐れがあります。

現状を把握しセキュリティ対策を改善するためという目的を十分に理解してもらうことが大切です。

c．訓練日時

初めての訓練であれば、繫忙期や月末など対外的なメールが多い時期は避けましょう。社内から実施時期に対してクレームが来ることがあります。

また、金曜日の夕方など、営業日の後半に送ると訓練メールに気づかないという可能性もあります。 平日が営業日であれば、火曜日・水曜日がよいでしょう。

誰もが忙しいとは思いますが、少しでも社員の負担にならない日時を選びたいところです。

なお、訓練メールを一度に大量に送信すると、サイバー攻撃と判断され送信や受信が停止する場合もあります。

Selphishでは回避策として1通あたり3秒の間隔をあけて送信しています。100通だと送信完了まで300秒（5分）ですが、1万通だと3万秒で8時間以上かかります。通数と送信完了時間も考慮しながら送信日時を検討しましょう。

d．集計期間

メール送信完了後、いつまでの期間を集計するかを決めます。

送信完了日の翌日にすると、たまたま業務都合やお休みで確認できなかった人が集計から漏れてしまいます。かといって1か月など長くしてもメールを見返すことがなければ、意味はありません。

まずはおおよそ３～５営業日で設定してみましょう。もし集計期間外にアクションが多数あるようであれば、次回以降に改善しましょう。

なお、Selphishでは集計期間を延長することができるため、自社の状況に応じて柔軟な対応が可能です。

e．送付する文面

手引書では「はじめは一般的に世の中で出回っている文面で実施し、開封率が下がってきたことを確認したのち、文面を高度化していく」とあります。

そのため初めての場合は、見分けポイントが判別しやすい一般的な文面がよいでしょう。
文面の参考になる情報が掲載されているサイトはこちらにまとめています。
ぜひご覧ください。
https://security-academy.jp/blog/security/post-10/
https://security-academy.jp/blog/security/post-14/

PDFにまとめたものはこちら
https://security-academy.jp/download/605/

見分け方を解説したブログはこちらです。
https://security-academy.jp/blog/security/post-631/

こういった見分けポイントを複数含むメールを用意するとよいでしょう。

なおSelphishではメールテンプレートを30種類用意しており、件名や文章、送信元アドレスが編集可能です。一から考えるのは大変なので、ぜひテンプレートを活用してみてください。

f．リンク形式か添付ファイル形式か

自社でよく使う形式を選びましょう。

猛威を振るった「Emotet」ではExcelやOneNoteが悪用されました。フィッシング詐欺ではリンクが悪用されています。

なお、自社のセキュリティ対策製品によっては添付ファイルやリンクを自動的に検査する機能があるため、事前にテストして正しく集計できるか確認しておきましょう。

４．実施～集計～次回への改善

日時や文面が決まり、テストで送受信や集計に問題ないことが確認できればいよいよ本番です。

集計結果から現状の社内のセキュリティ耐性や開封率が高い部署などが数字で確認できるはずです。

また、今後の訓練に生かすために訓練対象者にアンケートを取ることも重要です。

忙しくてそもそも訓練に気づいていなかったという人もいるため、どのような状況・判断でメールを確認したのかを把握するとより訓練結果の精度が高まります。

Selphishでは無料でアンケートも実施できますので、アンケート機能もぜひ活用してください。

おわりに

自社で初めて訓練を実施する方向けのフローを紹介しました。

開封率は高いからダメというわけではなく、文面などによっても上下します。そのため、開封率の結果に一喜一憂するのではなく、攻撃メールを知り、正しく対応できるような教育が重要となります。

また、開封率が低いからといって油断は禁物です。1人でもウイルスに感染してしまえば、全社のシステムに影響を与える可能性があります。万が一に感染の疑いがある場合はどのように対応すればよいかを周知しましょう。

開封率の考え方については、こちらのブログにまとめています。
https://www.proactivedefense.jp/blog/post-3414

ご紹介した例をもとに自社の状況に応じて自由にカスタマイズしてみてください。
このブログが、皆様がよい訓練ができる一助になれば幸いです。