標的型攻撃メール訓練の目的や必要性を解説

標的型攻撃メール訓練とは

特定の組織を狙ってウイルスなどを感染させることを目的としたメールでの攻撃を「標的型攻撃メール」と呼びます。この攻撃は、例えばシステムを停止させて業務の妨害をしたり、機密情報・知的財産・アカウント情報などを窃取するといった目的で行われており、近年被害件数が増加しています。

この標的型攻撃メールへの対応力を認識するための訓練が「標的型攻撃メール訓練」です。模擬メールの送信などを行い、組織において標的型メール攻撃への対応力がどれほどあるのかといった確認を行うことに加えて、注意喚起・セキュリティ意識の向上を図るために実施されています。

標的型攻撃メール訓練の必要性

上記でもご紹介した通り、標的型攻撃メールの被害件数が増加しています。しかし、中には「標的型攻撃メール訓練は必要ない」と考える企業や担当者の方もいるようです。確かに「サイバー攻撃による被害を100％防ぐ」という点を目的として考えていた場合、結果として被害に遭ってしまうのであれば訓練を行っても意味はない、と感じることはあるかもしれません。特に時間やコストを訓練にかけるのであれば、その分システム対策に費用をかけるといった結論に達するというのも理解はできます。

しかし、例えば「避難訓練」を考えてみましょう。避難訓練は、災害などが起こった場合の対応力を日頃から鍛えておくことによって被害を最小限に抑えるものです。この避難訓練を「被害を100％防ぐために実施する」と考えている方はいないでしょう。

この標的型攻撃メール訓練も避難訓練と同じです。もしも標的型メール攻撃を受けてしまった場合にも、被害を最小限に抑えるには日頃から訓練を行い、セキュリティへの意識を高めておくことが大切といえるのです。

他にもある、標的型攻撃メール訓練を行う目的

標的型攻撃メール訓練を行う目的には、メールが来たときにどのように対処するべきか学ぶといった点の他にも、「従業員のリテラシー向上」「標的型攻撃メールの手口を学ぶ」という目的もあります。

従業員のリテラシー向上

標的型攻撃メール訓練は、従業員のITリテラシー向上につながるメリットも得られます。例えば、Webサイトの閲覧やメールの使い方について改めて学べます。

多くの企業で日々インターネットやメールを業務に使用していますが、使い方を間違えると企業に損害を与える可能性がある、という点はしっかりと認識をしておくことが大切です。使い方によってはウイルスなどに感染する可能性があるといった意識を従業員全員が持つためにも訓練は有効であると考えられます。

標的型攻撃メールの手口を学ぶ

訓練により「標的型攻撃メールはこのようなパターンがある」といった点を知ることもできます。しかし、標的型攻撃メールの手口は日々新しいものが出てきます。思わず担当者が「このメールを開きたい」と思ってしまうようなメールが送られてきます。

以上から、どのようなメールのパターンがあるかを知っておくだけでも「このメールは注意したほうが良い」という意識を生むことができるため、定期的な訓練が必要となります。

訓練後の効果検証のポイント

標的型攻撃メール訓練を行った場合には、併せて効果検証を行うことも大切です。ここでは、効果検証におけるポイントについてご紹介します。

「意識」の変化を見る

まずは従業員の意識がどのように変化したのかを見ていきましょう。例えば、従業員が攻撃メールを受信したときに「これは開封してはいけないメールである」という意識を持つ点に加えて、しっかりと訓練への意識を高められているか、といった点も確認しておくべきポイントです。 メールへの対策方法については、訓練の前後の教育でも教えられますので、実際の訓練については従業員の意識づけの部分に注目していきましょう。

「開封率」より「報告率」

従業員の意識を見るためには、「どれだけメールを開封してしまったか」という開封率ではなく、「報告を行ったかどうか」という報告率に注目することがポイントです。この点に注目しておけば、「報告を行う」という対応すべきフローをしっかりと行った従業員は訓練に対する意識やセキュリティに対する意識が高いと判断できます。

まとめ

近年標的型攻撃メールが増加している点からも、万が一の攻撃に備えて訓練を行っていくことは企業や組織にとって非常に重要であるといえます。

訓練そのものに加えて、訓練結果の分析や従業員へのフィードバックを行うことによってセキュリティへの意識を高められます。サイバー攻撃への対策や従業員のリテラシー強化方法について悩んでいる担当の方は、ぜひ標的型攻撃メール訓練を取り入れてみてはいかがでしょうか。