「ちょっと標的型攻撃メール訓練やってくれない？」と言われたら：誰が為のセキュリティ（3/4 ページ）

[伊藤聡司，みずほ情報総研]

より効果の高い訓練を計画するために

　以上のように、報告率を測る訓練は高い効果が期待できる。しかし、開封率を測るだけの訓練と比べて関連部門の負荷は大きく、コストも高くなる。訓練担当者は、負荷やコストに見合う成果を求められることになる。

　ここでは、コストに見合った成果を得るために計画段階で何を考えるべきか、順を追って述べたい。

1.訓練目的を明確にする

　まず、訓練目的を明確にする必要がある。例えば、「不審なメールの見極め」を目的とする訓練と、「不審なメールが届いたときの社員の対応力を測る」ことを目的とする訓練とでは、使用するメールの文面や訓練の実施体制が異なる。

2.訓練結果の信頼度・割り切り事項を見極める

　標的型攻撃メール訓練における課題の一つに、「意図しない周知によって結果の信頼度が損なわれること」がある。例えば、同じチームに同じタイミングで同一文面のメールを送って、メール訓練の実施に気付かれてしまった場合などだ。訓練の分割などの対応はあるが、予算や人的リソースといったコストとのトレードオフになるため、訓練担当は計画時に「どこまで割り切るか」を見極めておく必要がある。

3.関係部門との調整は十分に行う

　効果の高い訓練を行うには、関係部門を交えた準備が必要となる。特に報告率を求める訓練では、報告先の部門に負担がかかるため、事前の調整が必要である。また、訓練を受ける各部社員は通常の業務を行っているため、訓練の実施においては繁忙期の見極めも求められる。

4.メール文面は受け取り手の立場で作る

　訓練の精度を高める上でのポイントは、メール文面である。不審なメールと思わせず、開封を促すためには、相手の心理に付け込んだメール文面を作る必要がある。特に「相手の立場で受け取る可能性のあるもの」「時期がある程度限定されているもの」は比較的開封率が高いと筆者は感じる。

　例えば、本部組織に所属する社員であれば、監督省庁などの外部機関から送られたように見せかけるメールなどが開封されやすいだろう。現場組織に所属する社員であれば「顧客からの誘い」や「組織のイベント」などが開封されやすい。時期に関するものとしては、増税や国際会合といった、誰もが知っているイベントが挙げられる。