あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント（3/4 ページ）

安易に実施される標的型攻撃メール訓練によって発生するトラブルを避けるには。

[高橋睦美，ITmedia]

トラブルを回避するための”ちょっとしたポイント”

　せっかく時間と手間、そしてコストをかけて訓練を行うのだから、できる限りトラブルを起こさずに済ませるのが望ましい。そのために留意すべきポイントは何だろうか。

　まず一つ目の「受信者の業務が混乱し、滞ってしまう問題」を避けるには、不審メールに対する対応を周知徹底し、理解してもらうことが第一だ。「不審なものが送られてくると、どうしたらいいんだっけ……と受信者が迷ってしまうパターンもあるでしょう。それを避けるため、普段から不審メールへの対応手順を周知し、『何かあったらここに相談、連絡すべきだ』ということをすり込んでいくことが一つの対策です」（森田氏）

森田義礼氏

　また、あまりに長期間に渡るのではなく、短期間で実施するのもポイントの一つだとした。「混乱を避ける上でも、訓練実施後、すぐに『これは訓練メールなんだよ』と種明かしをしてあげることが大事だと思います」（森田氏）。中には、朝の10時に訓練メールを配信し、その日の夕方には種明かしをするスケジュールで実施するケースもあるという。

　加えて、訓練メールに使われるURLや添付ファイルをクリックした場合に、きちんと「あなたは訓練メールを開封したため、次のステップとしてこういったアクションを取ってください」と誘導することも重要だ。これにより受信者も、「次に何をすべきか」に迷うことなく、正しい窓口に対して報告が行えるようになる。

　次に、報告窓口やセキュリティ担当者のキャパシティーオーバーを避けるにはどういった点に留意すべきだろうか。

　情報システム部門の人員が潤沢で、問い合わせ窓口にも余裕がある──といったケースはまずない。訓練のためだけに窓口要員を増強するのも非現実的だ。「訓練の日程や対象者を調整し、日程を短く設定したり、一度に送信する受信者の数を絞ることで、パンクのリスクを軽減できるのではないかと考えます」と森田氏。例えば、従業員が一万人いるからといって、一日で全員に送るのではなく、一日当たり1000通ずつ程度に分け、それも時間帯をずらしながら配信していく、というイメージだ。

　負荷軽減に加え、個々人のリテラシーを上げるという目的から「事業所単位」「部署単位」ではなく、ランダム性を持たせてばらばらに訓練を実施するケースも多いという。「部署の近くの人に相談して『変なメールが来ているから開かないでおこう』と集団で判断することも大事ですが、個人の判断を問うことを目的とした訓練の場合、本当にバラバラに配信するやり方をよく聞きます」（森田氏）

　そして、当たり前といえば当たり前だが、訓練企画者と窓口対応者が異なる場合は、抜き打ちではなく、事前に訓練の予定を知らせ、ネゴシエーションしておくことも重要だ。「『いついつに、こういう訓練をするから問い合わせが増えるかもしれませんが、よろしくね』という事前の調整は重要だと思います」（森田氏）

　そして第三者の組織・企業の営業妨害につながる問題を避けるには、「実在する組織名や人物名は使わない」ことに尽きる。内部犯を模した訓練の一環として社内の組織名や人物名を使った訓練を実施するケースがないわけではない。しかし基本的に社外の第三者の名称は使わない前提で実施し、どうしてもという場合は第三者を「想起させる」程度で訓練を実施することが、トラブルを避けるために大事なポイントだとした。

　近年、サプライチェーン経由の攻撃も増えており、実際に関係する会社の名前を使って訓練したいというニーズも生じているという。だが「親会社がグループ子会社の名前を使って訓練したい、という場合でも、グループ会社での許諾を得た上で実施することが大事です。勝手に他者の名前を使わないことが大前提となります」と森田氏は述べた。