標的型攻撃メール訓練を実施した後は、結果をレポーティングし、上長に報告する、従業員へのフィードバックに使用する、次回の改善に活かす、といったことが必要になると思います。
しかし、結果のレポーティングの際、何の数値を取ってどこを見ればよいのか、というのは悩みどころです。
本記事では、標的型攻撃メール訓練で重視したい「報告率」について、「開封率」と比較しつつご紹介します。
また、標的型攻撃メール訓練を抜けもれなく実施したい方へ、標的型攻撃メール訓練のガイドブック&ToDoリストを無料で配布しています。ご活用ください。
標的型攻撃メール訓練についておさらい
標的型攻撃メールとは
標的型攻撃メールとは、特定の企業を標的として、その従業員がつい開封やクリックしてしまうように巧妙に作られた攻撃メールのことです。添付ファイルや記載のリンク先にはマルウェアが仕込まれていて、不正アクセスや情報漏洩につながります。
IPAの情報セキュリティ10大脅威にも毎年名を連ねる注目の脅威で、今や対策は必須となっています。
標的型攻撃メール訓練とは
そんな標的型攻撃メールへの対策に有効だと言われているのが、標的型攻撃メール訓練の実施です。
標的型攻撃メール訓練は防災訓練のようなもので、実際のメール攻撃を模したメールを従業員に送信し、受信から不審メール報告までの流れを体験してもらう訓練です。
セキュリティ教育などと組み合わせて継続的に実施、改善を繰り返すことが求められ、その際に見られる指標として、「開封率」や「報告率」、他にも「クリック率」や「フォーム入力率」等が挙げられます。
より詳しくは「セキュリオ」標的型攻撃メール訓練ページで解説しています。ご参照ください。
「開封率」と「報告率」
メール訓練における「開封率」
開封率は、文字通り、訓練メールを受信した従業員のうち、訓練メールを開封した従業員の割合です。
東京商工会議所が2022年に実施した標的型攻撃メール訓練では、対象811名のうち、12.2%にあたる99名がメールを開封したそうです。
これはあくまで参考程度の数字で、例えば本物の標的型攻撃メールが企業に寄せられた場合、従業員のただ一人でもメールを開封してしまったら、企業は不正アクセスや情報漏洩を許してしまうことになります。
理想を言えば、開封率は0%を追求するべきです。訓練でメールを開封してしまった従業員には追加で教育を実施することが望まれます。
メール訓練における「報告率」
報告率は、訓練メールを受信した従業員のうち、社内窓口に不審なメールとして報告した従業員の割合です。
従業員が訓練メールを「開封した/しなかった」という「開封率」は、ブレのある数字です。従業員は、たまたま訓練メールを見落としていたために開封しなかったかもしれませんし、逆に、そのメールが訓練だと確信したうえで冷やかしで開封したかもしれません。
一方、報告率の場合、不審なメールを報告した従業員と言うのは自ら報告と言うアクションを起こしたセキュリティ意識のある従業員のみであると言えます。
ちなみに、LRMでご提供している「セキュリオ」の標的型攻撃メール訓練では、不審なメールを報告できる「不審メール報告機能」を備えています。
結局、どっちを見るのがいいの?
以上を踏まえると、基本的には、報告率を継続的に追い、向上させることを目標とするのが最終的には望ましいです。ただし、不審なメールを報告する、というのは従業員にとっては少しハードルが高く、訓練を始めたばかりであったり対象が新卒社員であったりした場合には、低い数値での推移になってしまい、成果がわかりづらい場合があります。
そのため、目安として開封率も追っておき、開封率が一定値下回ったら報告率向上を目指すとよいかもしれません。
報告率を指標に継続的にPDCAサイクルを回していこう
開封率を低下させ、報告率を向上させるために、従業員のセキュリティ意識・リテラシーを高める必要があります。そこで、標的型攻撃メール訓練で継続すべきこととしては、下記が挙げられます。
事前・事後の教育を実施する
事前の教育無しに標的型攻撃メール訓練を実施しても、ただ従業員がびっくりして終わってしまう可能性があります。訓練の目的は、従業員が適切な対応を取れるようになることですので、そのために必要な事前教育をしましょう。 また、訓練しっぱなしになってしまってはもったいないので、訓練後、従業員の意識が比較的高いうちに事後教育を実施しましょう。
従業員からのフィードバックをもらう
訓練の取り回しをするのは情シスやセキュリティ担当者ですが、従業員からのフィードバックもしっかり受け取っておきましょう。受信者側からしか見えない視点もあるかもしれませんし、開封してしまった従業員に何故開封してしまったのかの理由を尋ねることは、今後のセキュリティ対策の参考にもなります。
また、従業員に標的型攻撃メールについて考えるきっかけを与える、という意味でも有効です。
訓練メールの文面・件名・手法はバリエーションを持たせる
極端な例かもしれませんが、訓練メールで毎回同じ文面を使用していた場合、従業員が「これは標的型攻撃メール訓練だ」とすぐに気づき、開封率は低下し、報告率は向上するでしょう。
しかし、それでは意味がありません。従業員が本物の標的型攻撃メールを受信したときにしっかり見破り、しっかり対応できるよう、手を変え品を変え巧妙な訓練実施を続けましょう。
適切な事前周知をする
標的型攻撃メール訓練をそもそも抜き打ちで実施するか予告して実施するか、というのも迷われるところかと思いますが、いずれにせよ、最低限の根回しや周知はしておく必要があります。特定の部署を対象にした訓練の場合はその上長には根回ししておく、といった具合です。
より実践的な訓練を、という観点から抜き打ちでの実施をする気持ちはわかりますが、標的型攻撃メール訓練は、一見、本物の標的型攻撃メールであることを失念しないでください。予期せぬ社内混乱や従業員たちの手間を招かないようにしましょう。
ほんとうに効果のある標的型攻撃メール訓練ならセキュリオ
ほんとうに効果の出せる標的型攻撃メール訓練をお探しの方へ、LRMの情報セキュリティ教育クラウド「セキュリオ」がオススメです。
豊富な文面・手法テンプレートから選び放題、もちろんカスタマイズやオリジナル文面の利用も可能です。また、GRスタンダードプラン以上なら、eラーニングや毎週配信のミニテストも利用可能で、しっかり継続的に従業員のセキュリティ意識・リテラシーを維持できます。
不審メール報告機能も付いているため、安心です。
詳しくは製品サイトをご覧ください。
まとめ
標的型攻撃メール訓練における報告率の意味や、報告率を見ながら継続して取り組む内容についてご紹介しました。
適切な指標で訓練結果を評価しつつ、効果のある訓練としていきましょう。
