自分ごとにする方法！優良事例から学ぶ

中小企業の経営者や情報システム担当者のお話を聞くと、よく出る悩みが「従業員の情報セキュリティ対策意識の向上」です。

今回は、情報セキュリティ教育に関する優良事例をご紹介します。

●標的型攻撃メール訓練の有効性

従業員の情報セキュリティ対策意識を向上するため、集合研修、eラーニング、標的型攻撃メール訓練（以後、メール訓練と記載）を行っている企業は多いと思います。

メール訓練は、本物の不審メールを模したメールを体験することで学べるため、従業員一人一人が自分ごととして捉えるきっかけとなることを期待して実施する企業が多いです。

なお、東京都では「令和７年度サイバーセキュリティ啓発事業」の中でメール訓練を受ける事が出来ます。来年度の事業は現時点では未定ですが、継続される場合は東京都の「中小企業向けサイバーセキュリティ対策の極意ポータルサイト」に掲載されますので、適宜ご確認ください。

上記事業の令和６年度実施時に約５０社に参加いただきアンケートを取得しましたが、従業員のセキュリティレベルの把握、サイバー攻撃への対応知識の向上といった効果があったようです。

一方で、メール訓練を毎年実施している企業からは、慣れてきた、開封が０にならない、特定の人が開封し続けている、という声を聞くことがあります。企業により課題は様々ですが、問題の１つとして「開封した人へのケア」があると思います。

●標的型攻撃メール訓練の効果を上げるには

具体的な取り組み事例を２つ紹介したいと思います。

１．再訓練

開封した人には個別に教育資料を配布し、再度メール訓練を行います。実際に行った企業様では再訓練により開封する人はほぼいないとの事です。さらにその後の毎年同社が行っているメール訓練でも開封をしないとの事です。

２．報告書作成

開封した人にはインシデント対応報告書を作成してもらいます。
報告書は例えば以下のようなフォーマットを使います。
＜例＞IPA中小企業のためのセキュリティインシデント対応の手引き

※上記は情報システム担当者向けの項目もありますが、あえて考えて書いてもらっているとの事です。

●注意したい事項

上記の取組は、開封者への罰則のように映る方もいると思います。実際、開封者が職場内で悪いことをしたように映るケースはあります。確かに、開封した人は不審メールに引っかかってしまうような行動をしています。

しかし、上記の取組をしている企業であっても毎年誰かが開封し０にはできない状況です。ある時点に行った訓練メールを開封しなかった人が、未来永劫開封しないとは言い切れません（過信は禁物です）。

開封者を責め、未開封者を過信させるような状況にならないよう、経営者や情報システム担当者は最適な情報セキュリティ教育を企画推進することが求められます。