「ちょっと標的型攻撃メール訓練やってくれない？」と言われたら：誰が為のセキュリティ（4/4 ページ）

[伊藤聡司，みずほ情報総研]

最後に待っている結果報告

　訓練担当者は、訓練の実施後に開封率や報告率などの定量的な指標を使って、訓練の結果を経営者などに報告する必要がある。多くの担当者が、この報告に苦労しているのではないだろうか。

　報告において、訓練担当は「結果を考察し、課題を挙げ、対策を述べる」ことになる。しかし、定量的に得られた結果が開封率だけだと、そこから自社の成熟度を測り、今後の対策を立てるのは難しい。

　理想論としては、多少無理をしてでも「報告率」を測定する訓練を実施したいが、コストや体制面の課題から、断念せざるを得ないこともあるだろう。

　そこで筆者が勧めるのは、他社との「横串の比較」だ。訓練を実施する前後の差異（過去の実施状況、文面の作り込み、事前学習など）は、考察や課題、対策立案につながる宝の山だ。

　また、経営層に対する結果報告の際にも「他社と比較した客観的差異」の説得力は高い。例えば、他社の多くが報告率まで集計して効果を上げていることが分かれば、自社の訓練方針の見直しを訴えたり、訓練予算の増額を求めたりする根拠になるだろう。

　ただし、この方法で成果を得るためには、訓練担当者が他社やセキュリティベンダーから比較情報を入手できる関係を築く必要がある。

　本稿は、標的型攻撃メール訓練結果を評価する際に一般的な指標とされる開封率の限界と報告率の重要性、訓練計画と結果報告について解説した。訓練担当の業務は非常に多岐にわたるハードなものであるが、本稿がその助成になれば幸いだ。

伊藤聡司（いとう さとし）　みずほ情報総研株式会社

入社後、一般先向けアプリケーション開発、みずほグループ向け基盤構築業務を経

てクラウド、スマートフォンサービス検証業務に従事。

2014年よりインターネットバンキングシステムの不正送金対策を担当しセキュリテ

ィ業界入り。

2015年よりみずほフィナンシャルグループのセキュリティ担当も兼務し、そこから

セキュリティ業界に完全に染まる。

2018年よりみずほグループ向けコーポレートサイト基盤のセキュリティ対策と標的

型攻撃メール訓練サービスを担当し現在に至る。