あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント（4/4 ページ）

安易に実施される標的型攻撃メール訓練によって発生するトラブルを避けるには。

[高橋睦美，ITmedia]

企画側の独りよがりではなく、訓練本来の目的に忠実に

　森田氏は最後に、長年に渡って標的型攻撃メール訓練サービスを提供し、日本企業ならではの“お作法”に沿ったビジネスメールの作り方、そしてセキュリティの状況も把握してきた立場から、訓練の効果を高めるためのポイントを次のように述べた。

　「訓練は教育の一環であり、受信者の理解を受けた上で成り立つものです。ですから『開封したからペナルティー』といったネガティブなやり方は避け、きちんと報告できたことを評価するポジティブな方向にフォーカスを当てて進めることが大事だと思います」（森田氏）

　つまりは、開封率の数字に一喜一憂するのではなく、報告率もしっかり見ていくことが大事なわけだ。森田氏は、その報告率を高めるためにも、受信者からの報告にしっかり対応していくことが重要だとした。「受信者からすると、せっかく不審メールを報告したにもかかわらず窓口から何の応答もなく無視されるようだと、本当に不審なメールが来たときにも報告しない、といった風潮になりかねません」（森田氏）

　そうした事態を避けるには、やはり企画側と受信者側のコミュニケーションが重要となる。大規模な企業の場合、訓練を行う前に事前に「報告をいただいても、窓口からの返信に時間がかかる場合があります」といった一言を添え、受信者の理解を得ながら進めていくこともポイントになる。

　「企画側の独りよがりに陥ることなく、従業員の協力を踏まえながら進めていくことで、訓練が快く受け入れやすいものになると考えています」（森田氏）。そうした意識を持つことが、「受信者に開かせてやるために難しいメールを作ろう」といった企画者のエゴを抑え、訓練本来の目的を達成する上でも重要だとした。

　近年、メールセキュリティも進化し、堅牢になってきたことから、かつてのように安易にメール経由でマルウェアが侵入する割合が、以前よりも少なくなってきているのは事実だという。

　一方で森田氏は「メールを介して何かを踏ませ、侵害していく手口は簡単にはなくならないものでしょう。訓練を通して『こういう手法が存在する』という事実を認知してもらい、定期的にすり込んでいくことが重要です」とし、訓練の目的を見誤ることなく活用してほしいとした。