The Hacker Newsは8月4日(米国時間)、「Three Common Mistakes That May Sabotage Your Security Training」において、従業員のサイバーセキュリティトレーニングにおけるよくある間違いを伝えた。フィッシング詐欺に対するセキュリティ意識向上トレーニングにおいて、教育を台無しにしかねない典型的な誤りが3つあるという。
フィッシング詐欺の犠牲者は増加の一途をたどっている。IBMのレポートによると、2021年に最も人気のあるサイバー攻撃はフィッシング詐欺で、企業の従業員の5人に1人がフィッシング詐欺の犠牲になっているという。フィッシング詐欺に対するセキュリティソリューションは存在するが100%有効なものはないため、フィッシングシミュレーションによるセキュリティ意識向上トレーニングが有効とされている。
フィッシングシミュレーションは、受信箱に届いた不審なメールが訓練のためものか、それとも本物の脅威なのかが従業員には分からないため、トレーニングの価値は高いといわれている。しかしながら、企業がフィッシングシミュレーションによくある間違いに陥るのを目にしてきたという。
- 間違いその1:教育ではなくテストを行う
「常習犯」を捕まえて罰するためのテストとしてフィッシングトレーニングを実施するというアプローチは、益となるよりも害となる可能性がある。ストレスを伴う教育的な経験は逆効果で、トラウマにさえなりかねず従業員はトレーニングを受けずに、システムを回避する方法を探すようになってしまう。
従業員の士気を良好に保つことは組織の福利厚生に不可欠であるため、積極的にジャストインタイム・トレーニングを実施することが解決策とされている。ジャストインタイム・トレーニングとは、従業員が模擬攻撃内のリンクをクリックすると、短くて簡潔なトレーニングセッションに誘導するというものだ。また、関連するステークホルダーとコミュニケーションをとり、継続的なフィッシングシミュレーションのトレーニングを周知させるのも有効とされている。
- 間違い2:全社員に同じシミュレーションを行う
シミュレーションに変化をつけることは重要であり、同じシミュレーションを全社員に同時に送ることは指導的でないだけでなく、組織リスクに関して言えば、有効な指標とならない。
複数のシミュレーションを異なる時間に異なる従業員に送信することが推奨されている。また継続的なサイクルを実装して、24時間年中無休でセキュリティが重要であることを強化することも重要とされている。
- 間違いその3:1回のキャンペーンのデータに頼る
1つのフィッシングシミュレーションでは組織のリスクを正確に反映させることはできない。1つのフィッシングシミュレーションの結果に依存することは、信頼できる結果や包括的なトレーニングを提供することは難しいとされている。
複数のシミュレーションによるさまざまなトレーニングを継続的に(少なくとも月1回)実施することが最も効果的な解決策とされている。従業員のリスクレベルに応じたトレーニングを行うことが強く推奨されている。