攻撃メール訓練の重要性を示すデータがあります。今日はそれを紹介しましょう。
攻撃メール訓練は比較的新しい考え方であり、目新しいだけでなく、倫理的ではなく不要であると受け止められることもありました。承認されないまま攻撃メール訓練を行い問題になったIT管理者もいたほどです。結局のところ、CEOに不意打ちで攻撃メール訓練を行うことは、賞賛されることも、昇進にはつながることもありませんでした。
注:攻撃メール訓練を最初は実施するときには、常に経営幹部が把握し承認する必要があります。通常のルーティン業務として実施するのは、経営幹部の承認を得てからにしてください。
現在では、攻撃メール訓練は、サイバーセキュリティを向上するために使用できる最高の教育ツールの一つであると認識されるようになりました。攻撃メール訓練は効果的な教育およびトレーニング方法です。ほぼすべての組織が攻撃メール訓練を取り入れています、唯一残されている問題は実施する頻度です。
注:KnowBe4は、攻撃メール訓練を少なくとも毎月、できれば毎週実施することを推奨しています。
KnowBe4が長期間にわたって収集してきたデータから、組織がセキュリティ教育や攻撃メール訓練の実施頻度が高いほど、従業員がフィッシングメールをクリックする可能性が低くなることが明らかになっています。セキュリティ教育と攻撃メール訓練の両方を実施できるのであれば、両方ともに実施してください。このデータから、セキュリティ教育だけを実施する場合よりも、攻撃メール訓練を合わせて実施することで、サイバーセキュリティのリスクを低減する効果が高まることも分かっています。
当然のことですがフィッシングや攻撃メール対策として、サイバーセキュリティ教育と、攻撃メール訓練のどちらか一方しか選ばなければならない場合は、攻撃メール訓練のみ選択した方が「フィッシングに引っかかる割合」が低いということがわかっています。
教育やトレーニングに関する何十年にもわたる研究結果から、攻撃メール訓練を受けた人の方が、習得した知識を長期的に記憶していることが確認されています。世界中のほぼすべての学校や教育プログラムでテストが実施されているのはこのような研究結果に基づいており、偶然ではありません。
2024年に出版されたCharan Ranganath博士の著書『Why We Remember』には「記憶のメカニズムに法則はないものの、勉強とは対照的にテストによって得られる効果(テスト効果)は、重力と同じような信頼性がある」と書かれています。Ranganath博士の著書では、テストによる長期的な学習効果に関する画期的な研究結果が数多く紹介されています。例えば、勉強だけをしていた人は、学習内容をすぐに思い出すことについては優れた結果を発揮できるが、同じ内容を学習しながらテストも行っている人は、長期的にその内容を記憶する能力がはるかに優れていたことが紹介されています。Ranganath Ranganath博士は、「勉強だけを繰り返していた学生は、平均して最初に学習した内容の半分しか記憶していませんでしたが、テストをしていた学生は85%以上を記憶していた」と書いています。Ranganath博士は20年以上教授を務めていますが、彼自身の授業の経験が頻繁にテストを実施することが重要である事例証拠となっていると述べています。以前は、2回の中間試験と期末試験という、大学教授が一般的に行っている知識評価を行っていました。
しかし、新型コロナの期間中、リモート学習を行う学生の学習意欲を維持させるために、毎週小テストを実施したところ、学生たちは通常の授業テストよりもはるかに良い成績を収めただけでなく、学習をより楽しんでいることがわかりました。
攻撃メール訓練キャンペーンは、理解度チェックやテストの一種であり、セキュリティ教育で学んだ内容を長期的に記憶するために役立ちます。
KnowBe4が推奨する学習方法
攻撃メール訓練は付属的に実施するべきものではありません。KnowBe4では以下のような取り組みを推奨しています。
管経営幹部の承認を得る
攻撃メール訓練キャンペーンを実施するときには、必ず経営幹部の承認を得てください。経営幹部の事前の承認を得ずに攻撃メール訓練を実施するのは間違っています。テストの種類と頻度の両方を承認してもらうようにしてください。
セキュリティ教育と攻撃メール訓練の両方を実施する
もし私が数学について一度も教わったことがない状態で、数学のテストを受けたとしたら、良い成績を収めることはできないでしょう。ですから、セキュリティ教育を行ってから、攻撃メール訓練を行うことを推奨します。すべての従業員の採用時に(およびその後毎年)、長めのセキュリティ教育(15~45分程度)を受講してもらい、長い教育を実施した後は、1年を通して(四半期ごと、月ごと、週ごとなど)短めの教育(1~5分程度)を定期的に受講してもらうことを推奨します。長めのセキュリティ教育と短めの教育の両方を実施する頻度が高いほど、従業員はサイバー攻撃に対してより適切に対応できるようになります。
攻撃メール訓練を実施することを予告しない
攻撃メール訓練を行っていることを従業員には周知しておきましょう。ただし、いつ実施するかを伝えてはいけません。多くの企業は従業員に攻撃メール訓練を実施する時期を告知していますが、これはテストの重要な目的を損なうことになります。実際、抜き打ちで行う場合に比べて、いつ行われるかわかっている場合の方が判別率は高まってしまいます。訓練メールが来るぞと身構えさせることなく、不意に来るフィッシングを見抜ける能力を試さなければなりません。実際のフィッシング攻撃は従業員に事前に予告などしませんから、メール訓練でも警告すべきではありません。
注:攻撃メール訓練の実施を特定の部門に警告している企業も存在します。これは多くの場合、経営幹部にテストが行われることを通知するため、あるいはサポートスタッフがテストを誤って報告しないようにするために行われています。しかし、このような事前の通達は、フィッシングの標的となる可能性が最も高い従業員に警告することになるため、KnowBe4はこのような特定の部門へ事前通達を推奨していません。
全員をテストする
組織によっては、経営幹部やIT部門などの特定の部門をテストの対象外にしている場合があります。本物のフィッシング攻撃では、これらのグループは頻繁に標的となります。もしこれらの部門に対してもセキュリティ教育とテストが必要です。
実施頻度
一定の期間が必要ですが、攻撃メール訓練を実施する頻度が高いほど、従業員の学習効果は高まります。週に1回以上の攻撃メール訓練を実施している顧客がいますが、他の条件をすべて同じにして比較したときに、KnowBe4のすべての顧客の中でこの顧客が最も優れた成果を残しています。多くの企業は、1週間に1回以上テストすることは多すぎると感じるかもしれません。しかし、10年以上にわたって蓄積したデータから、少なくとも四半期に一度(本当に「最適な頻度」は毎月から毎週)、従業員をテストしなければ、フィッシングに引っかかる割合は大幅に改善されないことが分かりました。テストの頻度が高いほど、サイバーセキュリティのリスクを低減する効果が高まります。
従業員がすばやく報告できる方法を提供する
本物のフィッシングでも攻撃メール訓練であっても、フィッシングが疑われるメッセージを簡単かつすばやく報告できる仕組みがあると、従業員が報告してくれる可能性は高まります。KnowBe4がPhish Alert Button(PAB)を無料で提供しているのはそのためです。PABはMicrosoft OutlookとGoogle Gmailに対応しており、従業員はメールを開いて、釣り針のアイコンをクリックするだけでそのメールを削除して簡単に報告できます。
攻撃メール訓練で不合格になった場合、すぐにセキュリティ教育を実施する
従業員が攻撃メール訓練で「不合格」になった場合、実際のフィッシングや模擬フィッシングを正しく認識するためにどうすれば良かったかを即座にフィードバックしてください。KnowBe4のプラットフォームでは、攻撃メール訓練に不合格になった場合、そのメッセージがフィッシングであることを示す「レッドフラッグ」をわかりやすく説明した内容を即座に送信できます。
従業員の良い行いを褒めるなら直ぐに
数十年にわたる調査から、誰かに何かを教えたり、何かのアクションをしたことに対してすぐに賞賛したり褒めるなどしてあげると、その教訓は長期的に記憶される可能性が高くなります。褒めるのが遅くなれば遅くなるほど、学習効果は薄くなります。フィッシングの疑いがあるメッセージが報告されたり、攻撃メール訓練で不合格になったりする場合には、できる限り直ぐに反応してあげてください。
さまざまな種類のトピックやコンテンツを利用する
同じことを繰り返していると飽きるものです。さまざまな種類のトピックやコンテンツを利用しましょう。同じ種類の訓練メールを送らないようにし、さまざまな種類のフィッシング(メールフィッシング、SMSフィッシング、スピアフィッシング、ヴィッシングなど)テストをすることも忘れないようにしましょう。テストを行うときには、ビデオ、アニメーション、ゲーミフィケーション、ポスターなどいくつかの種類のコンテンツを組み合わせて利用してください。
メールフィッシングに関するセキュリティ教育だけでは十分ではありません。あなたの組織が攻撃を受けているのは、従業員がソーシャルメディアに会社に関する情報を過度に投稿しているからかもしれませんし、侵害されやすいパスワードを使ったアカウントがすでに漏洩しているからかもしれません。セキュリティ教育やテストによって効果を実際に高めるためには、包括的なアプローチが必要となります。メールによるフィッシングを阻止するだけでは、組織のサイバーセキュリティカルチャー(文化)を変えることはできません。サイバーセキュリティに関するさまざまな問題を広く理解し、新たな問題に直面した場合でも正しい決断を下せるような組織作りを目指してください。
過去の結果に基づいてセキュリティ教育と攻撃メール訓練を毎回調整する
少なくとも、攻撃メール訓練で不合格になることが多い従業員には、より多くのセキュリティ教育と攻撃メール訓練を課す必要があります。セキュリティ教育と攻撃メール訓練のそれぞれで、各従業員がどのような結果だったかを把握して、その結果を元に、次に行うセキュリティ教育、テスト、攻撃メール訓練キャンペーンを調整してください。単純な繰り返しではなく、従業員のレベルや結果に応じてメリハリの効いたキャンペーンを実施できるようにしましょう。
結果に基づいて攻撃メール訓練の難易度を上げる
通常、ほぼすべての従業員は同じ種類や同じ難易度の攻撃メール訓練から開始し、判別能力を強化していきます。従業員が模擬攻撃メールのある難易度のものを判別できるようになったら、テストの難易度を上げていきましょう。誰も毎回、同じレベルのレッスンを受講したいとは思わないものです。誰もが能力を高めたいと考えています。一方で、基本レベルのフィッシングテストで不合格となった従業員には、合格するまで同じ難易度のテストを続ける必要があります。
楽しく学ぶ
教育で通報を増やしたり、しっかり覚えてもらうための方法を常に模索しています。攻撃メール訓練はこの目的を達成するために最適です。攻撃メール訓練は、従業員間で合格や不合格を競うものではなく、従業員がそれぞれ学習したことをしっかり身に付けるゲームのようなものとして捉えましょう。
クイズは効果的
一般的なセキュリティ教育では、最後に簡単な理解度チェックのテストを実施するかどうか選択できます。これまでの結果から、多くの人はテストを受ける回数が多いほど、時間が経過しても学習した内容を記憶できるようになることが分かっています。そのため、テストをするかどうかを迷った場合には、テストをすることを選択してください。同時に、テストは短時間で比較的簡単に実行できるようにしてください。大切なのは、しっかりと学習した内容を定着させることであり、従業員をイライラさせるようなことはしてはいけません。適切に理解度チェックを行えば、ほとんどの従業員は初回で合格できるでしょう。
従業員や経営幹部を怒らせない配慮を
セキュリティ意識向上トレーニングや人によるセキュリティリスクを管理する主な目的は、従業員を教育することによってサイバーセキュリティのリスクを低減することです。セキュリティ教育で従業員や管理職に不快な思いをさせてしまう場合、この目標を達成することが難しくなってしまいます。現在実施しているセキュリティ教育を従業員や経営幹部が不快に感じているのであれば、やり方が間違っているかもしれません。不快な思いをさせないために、物議を醸すようなトピックや、怒りや不満を感じさせることが分かっているテーマを使用する際には細心の注意を払ってください。「昇給のお知らせ」というタイトルの訓練メールを使用すれば、多くクリックさせることができるかもしれませんが、ほとんどの従業員や経営幹部は不快に感じるでしょう。しかし、唯一の例外として、そのフィッシングのメッセージが、企業に対する実際のフィッシングで使用されたことがあれば、攻撃メール訓練にそのようなメッセージを取り入れることも検討の対象となります。ハッカーだけ、特定のテーマを使っている状況は好ましくありません。それでも、物議を醸すようなテーマはできる限り避けてください。花の蜜は多くのハチを引き寄せることができますが、ハチを怒らせることは決して得策ではありません。
KnowBe4は、PhishERのPhishRIPを使用して従業員の受信ボックスから実際のフィッシングメッセージを削除し、PhishERのPhishFlipを使用して、これらの実際のフィッシングメッセージを無害な攻撃メール訓練に変換することを強く推奨しています。PhishFlipを利用することは、模擬フィッシングキャンペーンではない実際のフィッシングに、どれだけの従業員が騙されていたかを示すことができます。
KnowBe4は優れた教育を提供できるよう努力を続けている
KnowBe4は、セキュリティ業界で最も多くの学位と経験を有するサイバーセキュリティ教育者から構成されるセキュリティ教育コンテンツチームを持っています。KnowBe4のチーフラーニングオフィサーであるJohn N Just(ジョン・N・ジャスト教育学博士)がこのチームを率いています。ジョン・ジャストは、ペンシルバニア州立大学で学士号、南フロリダ大学で教育技術の修士号、ノバ・サウスイースタン大学で教育工学と遠隔教育の博士号を取得しています。オンラインセキュリティ教育を活用して、何千万人もの人にフィッシング対策を取り入れたセキュリティ防御の教育を実施しています。
ジョン・ジャストの傘下には、同等の教育を受け、学位を取得した数十名のデジタルラーニングの専門家が働いています。KnowBe4は、サイバーセキュリティのスキルを学び、教え、人によるリスクを管理する方法を向上する最善の方法を常に模索しています。また、KnowBe4では、セキュリティ教育コンテンツチームのメンバーやエバンジェリストがデジタルラーニングや攻撃メール訓練に関する最新の書籍を常に読んで、最新の知識を学習しています。KnowBe4のエバンジェリストであるAnna Collardは、人がフィッシングメッセージの影響を受けやすくなる、あるいは受けにくくなる要因を評価する研究によって修士号を取得しています。このように、KnowBe4のセキュリティ教育プログラムは、自分のキャリアをセキュリティ意識向上トレーニングのために献身的に費やしている多くのスタッフによって支えられています。
<まとめ>
ここで、最後に、このブログを要約します。理解度チェックやテストは教育の効果を高める重要なツールです。フィッシングキャンペーンの訓練やシミュレーションを頻繁に行うほど効果は高まります。攻撃メール訓練をまだ実施していない、あるいは少なくとも毎月実施していないのであれば、今すぐに取り入れて実施してください。
原典:Roger Grimes著 2024年6月26日発信 https://blog.knowbe4.com/simulated-phishing-tests-matter