メール訓練とは、標的型攻撃を模擬した訓練メールを従業員に送付し、適切な対応が身についているかどうかを確認するセキュリティ教育の一つです。
メール訓練ツールを内製化している組織もあれば、クラウドサービスとして提供されている外部のメール訓練サービスを利用している企業も多いかと思います。
セキュリティ教育の中で主流とされているメール訓練ですが、あなたの組織ではメール訓練を実施した後の教育は十分に行われていますでしょうか。
訓練メールの開封率がどのように変化しているか、分析はできていますでしょうか。
本コラムではメール訓練の目的をおさらいした上で、開封率の目安やサンプルなど訓練を行う上でのポイントをご紹介します。
メール訓練の目的
メール訓練の目的としては、従業員一人ひとりが不審なメールを受信した際に、正しい判断・対処ができるような知識を身につけることです。
それを実現するためにも、従業員が情報セキュリティの脅威と対策を正しく理解し、適切な対処ができるかどうかを確認することが重要です。
まずは、訓練メールであることを見破れずにうっかり開封してしまったり、メールに記載されたURLや添付ファイルをクリックしてしまったりなど、正しい対処ができなかった従業員を明らかにします。
その後、フォロー対象の従業員に対して教育を実施することで、組織としてのセキュリティレベルを高めていきましょう。
訓練メールの目指すべき開封率とは?
そもそも、訓練メールの目指すべき開封率はどれくらいなのでしょうか。
2019年に東京商工会議所が100名以下の組織を対象に実施した調査結果によると、全体の開封率は25.4%でした。これは、同様の訓練を実施した101〜300名の企業と比較して10ポイント弱、301名以上の企業と比較すると15ポイント弱ほど開封率が高い傾向にありました。
また、業種ごとの分析によると最も開封率が高かったのは「建設業/不動産業」の36.2%で、最も開封率が低かったのは「製造業」の17.9%との結果も発表されていました。
従業員全員が不審なメールを見破り開封しないことが目指すべき姿ではありますが、数回の訓練メールだけで実現することは困難です。
まずは現状における開封率やクリック率を可視化し、自社の数値が業界水準よりも高いようであれば、業界水準以下を最初の目標として設定しても良いかもしれません。
メール訓練後に実施していただきたい4つのポイント
繰り返しにはなりますが、メール訓練の実施目的は開封率を低くすることだけではありません。
従業員一人ひとりが適切な対処ができるよう、訓練実施後に行いたいポイントをご紹介します。
1.組織における対応状況の可視化
メール訓練実施後には、下記のような基準を設けセキュリティ教育のフォロー対象を明確にしましょう。
フォロー対象条件の一例
- メールを開封した
- メール本文のURLや添付ファイルをクリックした
- 開封またはURL・添付ファイルのクリックをしたが、社内のセキュリティ窓口に連絡を入れなかった
また、特定の部門に偏っているのかどうか、年齢や役職などに偏りがないかを確認することも大切です。
特に機密情報や個人情報を取り扱う部門など、サイバー攻撃の被害にあった際にリスクの高い部門はより注視しましょう。
2.フォロー対象者へセキュリティ教育の実施
フォロー対象者には適切なセキュリティ教育の受講を行いましょう。
日々業務を行う中、セキュリティ教育で時間を割くことに抵抗感を示す従業員もいるかもしれません。
講義形式だけでなく様々な脅威と対策に関して学べる動画や、ゲームやクイズ形式の教育コンテンツを活用することで、より能動的にセキュリティ教育を受講できます。
独立行政法人情報処理推進機構セキュリティセンター(IPA)などがセキュリティ対策に関する動画を無料で公開していますので、このような教育コンテンツを活用しセキュリティ知識の定着を促しましょう。
3.次回の教育内容・訓練内容を企画
フォロー対象者に対する教育が完了した後は、次回の教育内容や訓練内容を検討しましょう。
前回実施した際の気づきや、流行しているセキュリティ脅威の手口や対処方法などをセキュリティ教育に盛り込み、それが理解できているかどうかをメール訓練で確認しても良いかもしれません。
例えば、メールを開封してしまったものの適切な窓口への連絡を忘れてしまった社員が多かった場合、メールの本文や添付ファイルに「このメールは標的型攻撃メールの訓練です。セキュリティ窓口に電話をしてください。」といったガイドを表記し、行動を促すのも良いトレーニングになるでしょう。
4.メール訓練の実施、振り返り
セキュリティ教育を実施した後は、メール訓練を実施しましょう。
実施後は前述したとおり、結果の分析、フォロー対象者へ教育の実施、前回の訓練からどれだけ変化があったかを分析してみましょう。
このサイクルを繰り返すことによって、セキュリティ教育の受講やメール訓練の実施による効果が検証できます。
適切な対処方法を社内に浸透・習慣化を促すにはある程度の時間が必要になりますので、継続してこのサイクルを回すことが重要です。
メール訓練のサンプル
メールによるサイバー攻撃は精巧に作りこまれているケースも多く発見されており、日ごろから注意深く確認することが必要です。
よってメール訓練においても、一目では訓練メールだと判断できないようなメールによる実践的な教育が有効です。
訓練のサンプルとして2つの例をご紹介します。
-
サンプル1
Microsoft 365などSaaSを利用している組織
ポイント
普段利用しているサービスに関するメールだと、疑う余地もなく開封してしまう恐れがあります。開封前に送信元のメールアドレスを確認する習慣をつけるきっかけにもなります。
-
サンプル2
情報システム部門からの連絡を模したメール
ポイント
社内メールだと思わせる手口を模した訓練メールの一例です。社内インフラのメンテナンス情報をどこに掲載しているか、情報システム部門の連絡先などの理解度をあげることにもつながります。
可視化から実施すべき教育のご提案、メール訓練までオールインワンになったサービス
JBサービスでは、年間計画の策定から、訓練メールの検討・作成・実施、スコアリング、適切な教育の選定・実施までをオールインワンにした教育サービスをご提供します。
サイバーセキュリティに関して高度な知識や技術を持つ認定ホワイトハッカーが、最新の脅威動向や貴社に応じたプランをご提案いたします。
訓練メールは実施しているけれどもその先がうまく進められないとお悩みの方は、ぜひJBサービスにご相談ください。
おすすめサービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)
見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。
詳しくまとめ
今回は、メール訓練を実施した後に追加で行っていただきたいポイントをご紹介しました。
働く環境やICT環境の変化が起き、サイバー攻撃の標的も会社だけでなく、従業員一人ひとりが働くテレワーク拠点も狙われるようになっています。
近くにセキュリティ担当者がいなくとも、従業員一人ひとりが適切に対処できるようにセキュリティ教育を行うことが、情報漏えいリスクの低減にもつながります。
テレワーク環境の導入を検討・実施した組織は、あらためてセキュリティ教育を見直してみてはいかがでしょうか。
