あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント

　負荷軽減に加え、個々人のリテラシーを上げるという目的から「事業所単位」「部署単位」ではなく、ランダム性を持たせてばらばらに訓練を実施するケースも多いという。「部署の近くの人に相談して『変なメールが来ているから開かないでおこう』と集団で判断することも大事ですが、個人の判断を問うことを目的とした訓練の場合、本当にバラバラに配信するやり方をよく聞きます」（森田氏）

　そして、当たり前といえば当たり前だが、訓練企画者と窓口対応者が異なる場合は、抜き打ちではなく、事前に訓練の予定を知らせ、ネゴシエーションしておくことも重要だ。「『いついつに、こういう訓練をするから問い合わせが増えるかもしれませんが、よろしくね』という事前の調整は重要だと思います」（森田氏）

　そして第三者の組織・企業の営業妨害につながる問題を避けるには、「実在する組織名や人物名は使わない」ことに尽きる。内部犯を模した訓練の一環として社内の組織名や人物名を使った訓練を実施するケースがないわけではない。しかし基本的に社外の第三者の名称は使わない前提で実施し、どうしてもという場合は第三者を「想起させる」程度で訓練を実施することが、トラブルを避けるために大事なポイントだとした。

　近年、サプライチェーン経由の攻撃も増えており、実際に関係する会社の名前を使って訓練したいというニーズも生じているという。だが「親会社がグループ子会社の名前を使って訓練したい、という場合でも、グループ会社での許諾を得た上で実施することが大事です。勝手に他者の名前を使わないことが大前提となります」と森田氏は述べた。

●企画側の独りよがりではなく、訓練本来の目的に忠実に

　森田氏は最後に、長年に渡って標的型攻撃メール訓練サービスを提供し、日本企業ならではの“お作法”に沿ったビジネスメールの作り方、そしてセキュリティの状況も把握してきた立場から、訓練の効果を高めるためのポイントを次のように述べた。

　「訓練は教育の一環であり、受信者の理解を受けた上で成り立つものです。ですから『開封したからペナルティー』といったネガティブなやり方は避け、きちんと報告できたことを評価するポジティブな方向にフォーカスを当てて進めることが大事だと思います」（森田氏）

　つまりは、開封率の数字に一喜一憂するのではなく、報告率もしっかり見ていくことが大事なわけだ。森田氏は、その報告率を高めるためにも、受信者からの報告にしっかり対応していくことが重要だとした。「受信者からすると、せっかく不審メールを報告したにもかかわらず窓口から何の応答もなく無視されるようだと、本当に不審なメールが来たときにも報告しない、といった風潮になりかねません」（森田氏）