「ちょっと標的型攻撃メール訓練やってくれない？」と言われたら：誰が為のセキュリティ（2/4 ページ）

[伊藤聡司，みずほ情報総研]

重要視しなければならないのは「報告率」

　報告率は、攻撃を受けた者が被害の極小化を目的とした行動をとれるかを確認する指標だ。報告率からは、自社の人間が受信したメールに対し「少し変だな」と感じた際にとるべき対応をどこまで把握しているかを数値化できる。

　報告率を測るには、作り込まれたメール文面と高い組織運営力が求められる。前者が必要なのは、開封されようのないメールでは質の高い訓練効果が得られないからだ。後者が必要なのは、システムだけでは集計できない情報を得るために関係部門との協働が求められるからだ。関係部門との協働には「社の重大イベント前後」や「集計に関係する部門の繁忙期」といった、訓練に適さない時期の見極めや業務の調整も含まれる。

　十分な準備の上で実施される訓練の過程や訓練で測った報告率からは、以下の3つの成果が得られる。

1.不審なメールに対する組織の成熟度

　受信報告率は「不審なメールを見極めるリテラシーを持つ社員の割合」となる。開封報告率は「組織の定めた手続きに習熟している社員の割合」となる。いずれも自社の被害最小化に寄与する数値として、所属する組織の成熟度を定量化できる。

2.自社の報告手続きに対する理解度と状況分析ができる

　受信報告率が100％であれば、全ての社員が件名や送信元アドレス、文面などから不審なメールを見極められたといえる。開封報告率が100％であれば、不審なメールを開封してしまった社員全員が、自社の手続きを理解しているといえる。いずれの数値も「どうすれば100％に近づけるか」を目標にして具体的な対策を立てられる。

3.感染懸念報告から対応まで一連の流れを関係部門で確認できる

　報告率を出すためには、実際の感染時に報告を義務付けられている部門が集計する必要がある。従って担当部門は、集計を通して実際の攻撃を受けた際のリハーサルができる。だが、訓練担当者がITの仕組みの中で完結できる開封率の集計では、関係部門への十分なリハーサルになるとは言えない。