標的型メール訓練

標的型攻撃は、業務に関係があるように装った巧妙なメールで職員に添付ファイルを開かせ、端末をマルウェアに感染させて組織内へ侵入する。技術的な防御をすり抜けて職員一人の操作で被害が始まるため、最後の砦は受け取った職員が不審なメールを見抜けるかどうかになる。標的型メール訓練は、情報部門が攻撃メールを模した訓練メールを職員に送り、誰が開封したか、添付ファイルを実行したか、報告したかを把握する。訓練の狙いは個人を罰することではなく、開封しやすい職員層や部署を把握して教育を重点化し、不審メールを受け取ったときに速やかに情報部門へ報告する行動を定着させることにある。情報セキュリティ対策の一環として定期的に実施する団体は増えており、開封率の推移を対策の効果指標として用いる。

訓練の進め方と評価

標的型メール訓練は、実際の標的型攻撃でよく使われる手口（業務連絡や請求書を装う、実在の取引先や上司の名をかたる、緊急性をあおる）を模した訓練メールを、職員に予告なく送ることで行う。訓練メール内のリンクや添付を開くと、教育用のページに誘導され「これは訓練でした」と知らせる仕組みが一般的である。評価では、開封率・添付実行率に加えて、不審メールを情報部門へ報告した率を重視する。開封してしまったこと自体よりも、開いた後に速やかに報告できるかどうかが被害の拡大を左右するためである。訓練結果は部署や職層ごとに集計し、開封率の高い層に追加の研修を行うなど、教育の重点配分に使う。

受け取った後の対応と組織的な位置付け

訓練が目指すのは、職員が不審なメールを開かないことに加え、万一開いてしまった場合に隠さず即座に報告する文化を作ることである。報告が早ければ、感染した端末をネットワークから切り離し、被害の封じ込めに動くことができる。報告先と初動手順をあらかじめ周知し、CSIRT（インシデント対応チーム）への連絡経路を訓練に組み込むと、実際のインシデント対応の予行演習にもなる。逆に、開封者を強く叱責する運用にすると、職員が報告をためらい発見が遅れる逆効果を生むため、訓練は処罰ではなく学習の機会と位置付ける必要がある。標的型メール訓練は単独で完結せず、情報セキュリティ研修やネットワーク分離・無害化処理などの技術的対策と組み合わせて多層的な防御の一部として機能する。