私はさまざまな組織のセキュリティ担当者から、「ユーザー教育をもっと進めるためのアイデアを教えてほしい」と相談を受けることがあります。多くの組織は、すでに月次もしくは週次でセキュリティ意識向上トレーニング(SAT)やフィッシング訓練といった、いわゆる基本的な施策に取り組んでいます。従業員の時間や労力を使いすぎないように配慮しつつ、ソーシャルエンジニアリングやフィッシング攻撃への理解を高めようと多くの担当者が努力しています。
これは非常に良い取り組みです。実際、データ侵害の70%〜90%にはソーシャルエンジニアリングが関わっています。SATとフィッシング訓練を行うことで、ソーシャルエンジニアリングによるサイバーリスクが大きく低減します。SATだけで全て解決するわけではありませんが、これは対策の重要な柱であることは間違いありません。
これらに加え、年に一度、組織全体を対象とした「HRM(ヒューマンリスクマネジメント)サミット」を開催するのも効果的です。このサミットは、HRMやソーシャルエンジニアリング、フィッシングについて全員で学ぶ場です。冒頭はCEOなど経営陣のスピーチで始まります。食事やドリンク、クイズ、ゲームなどを組み合わせ、楽しく参加できるイベントにします。
さらにヒューマンリスクを下げるうえで有効なのが「セキュリティ・チャンピオン制度」です。セキュリティ意識の高いメンバーを選抜し、社内の各所で周囲を支援するチームを作ります。重要メッセージを現場に広めるだけでなく、エンドユーザー側の質問やニーズを吸い上げ、必要なテーマを運用側へフィードバックしてもらいます。また、同僚からの学びは、非常に効果的です。
HRMコンテストとは?
多くのHRMプログラムでは、フィッシング訓練をゲーム化します。受講者に模擬フィッシングメールを送り、どれだけ見抜けたかで評価します。評価基準は、攻撃を見抜き、リンクのクリックや認証情報の入力といった危険な行動を避け、適切な窓口へ報告できることです。
高い成功率を収めた従業員や部署を「勝者」とし、表彰や認定証、ピザパーティー、記念品、ギフトカード、少額の賞金などで報います。
「Make a Phish」コンテスト
よりクリエイティブな取り組みとして、「Make a Phish コンテスト」という取り組みがあります。参加者に、ソーシャルエンジニアリングやフィッシングの模擬コンテンツを自作して提出してもらい、審査員が優秀作を選びます。
この取り組みの優れている点は、参加者が「良いフィッシング」とは何かを自分の頭で考えるようになる点です。創造的な人材が力を発揮し、受信者がだまされやすい要素や、心のスキを突く表現を具体的に理解するようになります。
たとえば、多くのフィッシングでは「至急」「本日中」などで緊急性を持たせ、正規に見えるドメインへ誘導します。ロゴも本物のように再現されることがあります。参加者には、現実味のあるメッセージの作成を促しましょう。
提出方法は、メールでも紙でも、社内の共有サイトへの掲載でも構いません。運用しやすい形を選んでください。
部門(カテゴリー)を複数設けるのも良いアイデアです。メールフィッシング、SMS(スミッシング)、音声通話(ビッシング)、ユーモア部門、最もトリッキーな作品、最もリアルな作品、などです。
受賞者を称え、作品を共有し、なぜ優れていたのかを解説しましょう。そうすることで、参加者は楽しみながらフィッシングやソーシャルエンジニアリングへの理解を深めることができます。
さらに一歩進んだ取り組みとして、ディープフェイクを用いた攻撃の部門を設けることもできます。ぞっとするような作品が集まるはずです。
実施前の注意事項として、許容範囲の明確化が必要です。たとえば、作成したコンテンツを無関係の人へ実際に送信することは禁止とする、といったルールです。公開情報の扱いについては、利用可とする場合もあれば、たとえ公開情報でも個人情報の使用を全面的に禁じる場合もあります。誰かを傷つけたり、コンテストの趣旨を損なう行為が起きないようにしましょう。
コンテストは「楽しい・学べる・創造性を刺激する」ことが大切です。その過程で、参加者全員がヒューマンリスクの低減につながる学びを得られます。
何かを深く学ぶ最良の方法の一つは、それを他者に教えることです。「Make a Phish コンテスト」は、まさにそれを実現します。
HRMプログラムを刷新するには、コンテストの導入をぜひご検討ください。
原典:Roger Grimes著 2025年9月5日発信 https://blog.knowbe4.com/advanced-educational-competition-ask-your-employees-to-submit-their-best-phishing