訓練やっても意味がない！？ ～標的型攻撃メール訓練をする理由 【第1回】目的編

標的型攻撃メール訓練（以下メール訓練）の肝を4回にわたって分かりやすくお伝えする本シリーズ、第1回はメール訓練の「目的」について解説します。

今年の6月で、ラックが「標的型攻撃メール訓練」サービスを開始してからちょうど6年が経ちました。

「標的型攻撃メール訓練」は、疑似的な標的型攻撃メール（以下、「疑似攻撃メール」）をラックから訓練対象者に配信し、実際の標的型攻撃メールへの対応力を高める体験型の教育プログラムです。

サービスリリース当初のお客様の反応は「標的型攻撃メールの訓練？？なにそれ？」であったものの、標的型攻撃メールによる被害の増加とともに標的型攻撃メール訓練サービス（以下、「メール訓練」）の認知度も高まり、今ではラックのセキュリティサービスの一端を担う存在となりました。お客様と会話するたびに、世の中全体で標的型攻撃メールに対する理解が進んでいることを実感しています。

メール訓練は意味があるか

最近になって「メール訓練は本当に意味があるのか」という声をたびたび聞くようになりました。「最近の標的型攻撃メールは巧妙だから、人の目で見分けるのは無理だ」このような声をよく耳にします。

確かに、普段の業務メールをそのままコピーしたかのような巧妙な標的型攻撃メールの事例は、これまでに複数報じられています。しかし、そのようなメールは見抜けなくても、巧妙でないものを見抜けるだけで、標的型攻撃メールの9割近くを見抜けることにつながることから、メール訓練には大きな意義があると考えます。

警察庁が公表している事例では、観測された標的型攻撃メールの9割近くが、多くのターゲットに対して同じ内容の攻撃メールを使う「ばらまき型」であるとされています。こういったメールは不特定多数を対象としているため、自身には心当たりがない内容が書かれていた場合は、見抜ける可能性があります。

とはいえ、自身に心当たりがない不審なメールを社員全員が100%見抜けるかというとそうではありません。ラックではこれまでに数百社に対してメール訓練を実施してきましたが、注意すれば気づくことができる疑似攻撃メールであっても、メールの添付ファイルを開封してしまう人はどの組織にもいます。

しかし、受信したメールが疑似攻撃メールであると気づかずに、そのまま添付ファイルを開いてしまったら意味がないかというと、必ずしもそうではないと考えます。

例として挙げる「防災訓練」の話

メール訓練の意義の話をするときに、必ず例として挙げるのが「防災訓練」の話です。

防災訓練は「災害を起こさない」ためではなく、「災害が発生したときにどう動くか」を体験・学習するために実施します。実際の災害を想定し、「机の下にもぐる」「避難経路に従って避難する」という対処を防災訓練の中で体験することで、災害時に取るべき行動を学習できます。
メール訓練では、防災訓練と同じように「標的型攻撃メールを受信したときにどう動くか」を社員一人ひとりが体験することも目的のひとつとなります。標的型攻撃メールを開いてしまったとしても、その後に「端末をインターネットから遮断する」「社内の担当部門への報告をする」など、社員一人ひとりが社内のルールを知っているだけの場合と、訓練で実際に対応したことがある場合では、大きな違いがあります。社員一人ひとりがルールに従った適切な対応を取ることで、何もしなかった場合と比較して、標的型攻撃メールによる被害を低減できる可能性が大幅に高まります。

訓練を実施することで、社員が可能な限り不審なメールを見抜き、迅速に社内の担当部門に報告を行うなど、適切な対応を取れるようになれば、訓練を実施する意義はあるのではないでしょうか。

訓練の目的意識が重要

訓練を意義あるものにするためには、訓練を企画する側がその訓練を行うことで何を得たいのか、目的意識を持つことが非常に重要です。

サービスを提供する中で、よくお客様からこのような質問をいただきます。

訓練に使用するメールはどれくらいの難易度にするのがよいのですか？

疑似攻撃メールの難易度は「難しければ、難しいほどよい」といった、単純なものではありません。目的に合わせた疑似攻撃メールを使用することが重要だと考えます。

不審なメールを見極める力を養わせたい場合

社員に「不審なメールを見極める力」を養わせたいのであれば、あえて不審な点を含めて作成した「気付かせる」ための疑似攻撃メールを使用します。実際の攻撃に使用された標的型攻撃メールの内容を活用する方法もあります。攻撃事例の入手方法としては、公的機関が公表しているものが参考になります。例えば、一般財団法人日本サイバー犯罪対策センター（JC3）では、警視庁と連携し、不審メールの事例を公開しています。（ラックのサービスでは、実際にラックで観測した標的型攻撃メールの内容を基に疑似攻撃メールのテンプレートを作成しています）

これまでに訓練を実施したことがなく、社員の知識レベルがわからない場合には、実際の攻撃例に近い内容の疑似攻撃メールを使用することで、実際に攻撃を受けた場合にどの程度の社員が添付ファイルを開くかや、社員のリテラシーを把握できます。
　「気付かせる」疑似攻撃メールを使用した場合は、訓練後に社員に対して「気付きのポイント」を周知し答え合わせをすることで、訓練による経験と教育の相乗効果が期待でき、標的型攻撃メールの不審なポイントについて、社員の理解がより深まります。

不審なメールを受信した場合の対応力を養わせたい場合

実際は、見抜けないほど巧妙な標的型攻撃メールを受信したり、あるいは見抜くポイントを理解していてもうっかり開封したり、ということが起こる可能性は十分にあります。そういった、万が一の場合の「対応力」を養うのであれば、あえて「気付かせない」メールを使用する方法もあります。
お客様社内の情報などを活用して作成した疑似攻撃メールは見抜くのがかなり困難です。このような「気付かせない」メールを使用して訓練を実施したお客様では、半数以上の訓練対象者が添付ファイルを開封する例もありました。しかし「気付かせない」メールを使用する場合は、どれくらいの人が開封したかの「開封率」はあまり重視せず、あくまでも、どれくらいの人が、開封後に組織内のルールに従った適切な対応を取ったかの「対応状況」に着目します。
添付ファイル開封時には、訓練である旨と合わせて「組織のルールに従って行動してください」というアナウンスを表示し、開封した方は実際の組織のルールに従った行動（LANケーブルの抜線、担当部門への電話報告など）を体験することになります。また、開封時に訓練である旨を表示せずに、より実際の攻撃に近づけて実施した例もあります。この方法では、疑似攻撃メールの難易度がより高まるだけでなく、慣れてきた社員が訓練の際は初動対応を実施しなくなるなど、訓練の継続実施から生じる「訓練慣れ」による影響を軽減し、より実践的に訓練を実施することが可能です。

このように、疑似攻撃メールの内容ひとつをとっても、その訓練を行うことで何を得たいのか、訓練の目的を意識した上で十分に検討することで、訓練を意味あるものにすることができます。

さいごに

ラックでは「標的型攻撃メール訓練」サービスを開始してから6年間、これまでにのべ数百社のお客様に対してメール訓練を実施してきました。特に大規模な情報漏えい事件が起きたタイミングでは、サービスの需要が大幅に高まりますが、それを差し引いてもお客様の数も年々増加しています。近年では、年度末になると訓練結果のオンサイト報告会のために、日本中を飛び回る状況になるほどです。
次回以降の記事では、サービス開始から多くのお客様のメール訓練で得た、訓練を効果的に実施するコツや、訓練の実施にあたり失敗しやすい注意点などをご紹介していきます。

失敗しない「標的型攻撃メール訓練」とは？（全4回）

• 【第1回】訓練やっても意味がない！？～標的型攻撃メール訓練を実施する目的～
• 【第2回】失敗しない「標的型攻撃メール訓練」とは？～準備編～
• 【第3回】標的型攻撃メール訓練中の混乱を防げ！～訓練編～
• 【第4回】やりっぱなしにしない「標的型攻撃メール訓練」～改善編～