効果的なメール訓練を導入するために必要なポイントとは

メール訓練とは、標的型攻撃を模擬した訓練メールを従業員に送付し、適切な対応が身についているかどうかを確認するセキュリティ教育の一つです。

メール訓練ツールを内製化している組織もあれば、クラウドサービスとして提供されている外部のメール訓練サービスを利用している企業も多いかと思います。

セキュリティ教育の中で主流とされているメール訓練ですが、あなたの組織ではメール訓練を実施した後の教育は十分に行われていますでしょうか。

訓練メールの開封率がどのように変化しているか、分析はできていますでしょうか。

本コラムではメール訓練の目的をおさらいした上で、開封率の目安やサンプルなど訓練を行う上でのポイントをご紹介します。

目次

1. メール訓練の目的
2. 目指すべき開封率とは
3. メール訓練後に実施していただきたい4つのポイント
4. メール訓練のサンプル
5. 可視化から実施すべき教育のご提案、メール訓練までオールインワンになったサービス
6. まとめ

メール訓練の目的としては、従業員一人ひとりが不審なメールを受信した際に、正しい判断・対処ができるような知識を身につけることです。

それを実現するためにも、従業員が情報セキュリティの脅威と対策を正しく理解し、適切な対処ができるかどうかを確認することが重要です。

まずは、訓練メールであることを見破れずにうっかり開封してしまったり、メールに記載されたURLや添付ファイルをクリックしてしまったりなど、正しい対処ができなかった従業員を明らかにします。

その後、フォロー対象の従業員に対して教育を実施することで、組織としてのセキュリティレベルを高めていきましょう。

そもそも、訓練メールの目指すべき開封率はどれくらいなのでしょうか。

2019年に東京商工会議所が100名以下の組織を対象に実施した調査結果によると、全体の開封率は25.4%でした。これは、同様の訓練を実施した101～300名の企業と比較して10ポイント弱、301名以上の企業と比較すると15ポイント弱ほど開封率が高い傾向にありました。

また、業種ごとの分析によると最も開封率が高かったのは「建設業/不動産業」の36.2％で、最も開封率が低かったのは「製造業」の17.9％との結果も発表されていました。

従業員全員が不審なメールを見破り開封しないことが目指すべき姿ではありますが、数回の訓練メールだけで実現することは困難です。

まずは現状における開封率やクリック率を可視化し、自社の数値が業界水準よりも高いようであれば、業界水準以下を最初の目標として設定しても良いかもしれません。

繰り返しにはなりますが、メール訓練の実施目的は開封率を低くすることだけではありません。

従業員一人ひとりが適切な対処ができるよう、訓練実施後に行いたいポイントをご紹介します。

メールによるサイバー攻撃は精巧に作りこまれているケースも多く発見されており、日ごろから注意深く確認することが必要です。

よってメール訓練においても、一目では訓練メールだと判断できないようなメールによる実践的な教育が有効です。

訓練のサンプルとして2つの例をご紹介します。

ＪＢサービスでは、年間計画の策定から、訓練メールの検討・作成・実施、スコアリング、適切な教育の選定・実施までをオールインワンにした教育サービスをご提供します。

サイバーセキュリティに関して高度な知識や技術を持つ認定ホワイトハッカーが、最新の脅威動向や貴社に応じたプランをご提案いたします。

訓練メールは実施しているけれどもその先がうまく進められないとお悩みの方は、ぜひＪＢサービスにご相談ください。

今回は、メール訓練を実施した後に追加で行っていただきたいポイントをご紹介しました。

働く環境やICT環境の変化が起き、サイバー攻撃の標的も会社だけでなく、従業員一人ひとりが働くテレワーク拠点も狙われるようになっています。

近くにセキュリティ担当者がいなくとも、従業員一人ひとりが適切に対処できるようにセキュリティ教育を行うことが、情報漏えいリスクの低減にもつながります。

テレワーク環境の導入を検討・実施した組織は、あらためてセキュリティ教育を見直してみてはいかがでしょうか。

参考

• 中小企業・小規模事業者に対する｢標的型攻撃｣メール訓練実施結果について／東京商工会議所