セキュリティのアレ（7）：「標的型メール攻撃訓練」にもの申す

セキュリティ専門家が時事ネタを本音で語る本連載。第7回は、昨今“予約待ち”になることもあるほど盛んに実施されているという「標的型メール攻撃訓練」に対して、＠IT筆者陣が切り込みます。

[根岸征史（インターネットイニシアティブ）, 辻伸弘（ソフトバンク・テクノロジー株式会社）, 宮田健，＠IT]

ご意見・ご感想・ご質問などはこちらまで！
Twitterハッシュタグ：#セキュリティのアレ

「開封率」にこだわるのって、どうなの？

　実際の業務メールに極めて近い文面や添付ファイルの偽装など、巧みな手口で行われる「標的型メール攻撃」。昨今、この攻撃に対する組織の防御力を高めるための「訓練」プログラムが、多くの企業などで行われています。

　こうした訓練の成果を評価する際に主に用いられるのが、（疑似）標的型攻撃メールの「開封率」です。そして、訓練の結果が企業のセキュリティ担当者の「評価」に影響を与えるケースもあるとか……。果たして、こうした訓練プログラムのやり方は、実際のリスクを軽減する上で妥当だといえるのでしょうか。前回に引き続き、根岸征史氏と辻伸弘氏が語ります。