セキュリティのトビラ (19) 標的型攻撃メール訓練のトビラ(1)

今回は、この訓練について、日本年金機構の標的型と思われる攻撃による情報漏洩事件を踏まえて考えてみようと思います。

筆者は、この訓練について、実施方法や取り組みへの姿勢を誤ると、セキュリティ対策をするどころか実施の意義が薄れ、組織のセキュリティレベルを下げかねないものであると考えています。その理由を説明するには、訓練がどのように行われてきたかということを見る必要があります。

まず、訓練はどのような目的のために行われるのでしょうか。筆者は以下のような理由で行われる訓練をよく見かけてきました。

「送られてきたメールが標的型攻撃のためのものであると気付き、開封や添付ファイルの実行、記述されたURLにアクセスしないようにするため」

そして、こうした訓練は複数回実施されるケースが多く、1度目に訓練メールを開いてしまった方には何かしらの教育や注意を行い、1回目と2回目の開封率を比較するというものがよくあります。そうすることによって開封率を下げるというわけです。しかし、それで本当に良いのでしょうか。

開封率が下がることで必ずしもリスクが低減されたと言えるのでしょうか。

筆者はこのことについて懐疑的な立場です。