近年、スパムメールやフィッシングメールといった、“メール”をきっかけとした脅威が後を絶ちません。
従来までは英文や不自然な日本語を使ったメールなど、比較的判別が容易なメールが多かったのですが、最近では通販サイトや金融機関などから送られてくる本物のメールと判別がつきにくいほど巧妙に作られたメールへと変わってきています。また、会社の関係部署や実在する取引先などになりすました形で送られてくるスパムメールも増えてきています。

「自分は大丈夫だろう」と思っていても、何らかのタイミングで誤って添付ファイルを開いてしまったり、メール本文に記載されたURLをクリックしたりしてしまう可能性があるため、日ごろから取り扱いに注意することはもちろん、万が一開いてしまった際の対応策を準備しておく必要があります。

標的型攻撃メール訓練とは、セキュリティ対策のサービス提供を行う企業などから送付される、標的型攻撃メールを疑似的に再現したメールによる訓練のことです。
従業員に対してメールを送付し、その開封状況や万が一メールを開封してしまった際の対応策が会社のルールに則ってきちんと実施できているか、などを可視化することができます。
そのため、技術的セキュリティ対策だけでは完全に防ぐことが難しいと言われている標的型攻撃メールに対しての現状が把握できます。

標的型攻撃メールは、社内ネットワークに導入されている機器やソフトウエアを狙ったものでなはく、PCを使用する人を狙った攻撃となるため、災害の避難訓練のように擬似的な体験をすることが有効です。
体験することで標的型攻撃メールの危険性を感じ、他人事ではないということを認識させることで従業員のセキュリティ意識を強化することに繋がります。また、継続して複数回実施することで社員のスキルアップの状況も確認することができます。

「訓練をしても意味がないのでは？」といったご意見もあるかと思います。
もちろん、従業員全員が不審なメールを開封せず、本文のリンクや添付ファイル等を開かないことが一番ですが、全員が常に不審さを見抜き対応できるわけではありません。
訓練は、標的型攻撃メールをはじめとした不審なメールを見抜く力を養うだけではなく、開封してしまった際に適切に対応できる力を養うことにも繋がります。上述した避難訓練のように、社員一人ひとりが疑似体験し、実践することも目的のひとつなのです。
標的型攻撃メールの危険性や社内のルールを知っているのと、訓練で実際に対応した経験があるのとでは、実際に不審なメールが来た時の対処が大きく異なるのです。

この標的型攻撃メール訓練は、当社でも定期的に実施しています。
毎回、従業員が思わず内容を確認したくなるような件名や本文のメールが送信され、添付ファイルを万が一開封してしまった際にルールに沿った上長や情報システム担当への報告がなされたかどうかを確認しています。

訓練後には、こうした取り組みの目的や概要・結果をまとめ、経営層にも報告した上で全社員に公表して啓発を図っています。
また、添付ファイルを開いて上長や所定の連絡先に報告しなかった従業員には、別途本人と上長へアンケートやヒアリング（なぜ添付ファイルを開いてしまったのか、どうして報告しなかったのか等）を行っています。
加えて、全社員（開封していない・適切な行動ができていた人も含む）に対しても、事後教育（確認テスト付）を実施しており、従業員のセキュリティ意識向上に向けた取り組みを継続させています。

昨年、当社では標的型攻撃メールをはじめとした不審なメールの受信・開封に備えるとの観点から「不審メール開封時の連絡先啓発シール」を配布しました。これを社有携帯電話に貼ることで、誤って開封をしてしまった際にも慌てることなく、ルールに沿った連絡先へ報告ができるようになりました。

当社が大切にしていることは、不審なメールの開封をしてしまった従業員を追及することではなく、万が一開封してしまった場合に迅速に所定の連絡先に報告できるようにすること、被害を最小限に抑えることです。
定期的な啓発・訓練を続けることが、従業員のセキュリティ意識の向上と教育に繋がっていくと考えています。

標的型攻撃メール訓練に関してご不明な点やより詳しく聞いてみたいなどのご要望がございましたら、下記のボタンよりお気軽にお問い合わせください。

近年では本物のメールと区別がつかないほど巧妙なスパムメールが増加してきています。
中には、会社の関係部署や実在する取引先になりすまし、思わず添付ファイルやURLの中身を確認したくなるようなメールが送られてくる可能性が高まっています。
他人事と思わず、安易にメールを開いてしまわないことはもちろんですが、万が一不審なメールを開封してしまった際の対応策を会社として整備し、被害を最小限に抑えることが重要といえます。