セキュリティ

社内で「フィッシング詐欺試験」を行うとむしろ業務に悪影響が出る

By Rawpixel

「フィッシング詐欺」とはクレジットカードの情報や、特定のウェブサービスのユーザー名やパスワードなどを奪うことを目的とした詐欺で、多くは偽のサイトへのURLリンクをメールで送りつけるという手法をとります。フィッシング詐欺は会社全体に打撃を与える可能性がある一方で、テスト的なフィッシング詐欺メールを社内に向けて送信し、偽のURLをクリックした従業員に罰則を与えることは、むしろ業務に悪影響を与えるとのことです

Should Failing Phish Tests Be a Fireable Offense? — Krebs on Security
https://krebsonsecurity.com/2019/05/should-failing-phish-tests-be-a-fireable-offense/

フィッシング詐欺に対する社員教育の講座などを提供するPhishLabでは、フィッシング詐欺を未然に防ぐための「試験」も提供しています。通常、この試験はフィッシング詐欺メールに引っかかった従業員を対象としていますが、何度もフィッシング詐欺メールに引っかかって試験を受けざるを得ない従業員に懲罰的な措置を講じることは、むしろ業務に悪影響を与えるとPhishLabのCEOであるJohn・LaCour氏は語っています。

LaCour氏によると、多くの会社が「引っかけ問題」のように、従業員に仮のフィッシング詐欺メールを送りつけてその対処を見るという「フィッシング試験」を行っているそうですが、そのような試験は間違っているとのこと。フィッシング試験はフィッシング詐欺メールの対処法を教えてくれないばかりか、従業員のやる気をそいでしまうそうです。

By stokkete

LaCour氏同様、フィッシング詐欺に対するセキュリティサービスを提供するCofenseのCEO、Rohyt Belani氏もまた「フィッシング試験を行うと、セキュリティ部門とその他の部門の間に亀裂が生じます」と語ります。Belani氏によると、この種の試験はセキュリティを向上させるというよりも人事評価を目的としていると受け取られ、セキュリティ部門に対して他の部門の従業員が非協力的になったり、反抗的になったりするとのこと。

また、Cofenseが提供しているサービスでは、従業員が「このメールはフィッシング詐欺メールです」と報告して、情報を共有するというシステムになっているとのこと。しかし多くの場合では、従業員は「メールに書かれていたURLをクリックしたらフィッシング詐欺サイトに転送されたから、このメールはフィッシング詐欺メールということだ」と判断しています。もし仮に「フィッシング詐欺サイトへのURLをクリックすること」自体が人事評価の減点対象になるのならば、従業員はフィッシング詐欺メールのURLをクリックしたことを隠してしまうため、結果として「どのメールがフィッシング詐欺メールなのか」という情報は共有されなくなってしまい、実際にセキュリティに悪影響が出てしまうそうです。

By Rawpixel

PhishLabでは、フィッシング詐欺に関する従業員のモチベーションを高めるため、フィッシング詐欺に関する講座を修了した従業員に、ギフトカードやプレゼントなどの小物、少額のボーナスを支給するといったインセンティブを与えることを推奨しているとのことです。

この記事のタイトルとURLをコピーする

・関連記事
管理職が頻繁にメールをチェックすると能力低下や部下のストレス増加などの原因になりうる - GIGAZINE

寒い部屋は女性の認知能力や生産性を減少させると研究で判明 - GIGAZINE

ネガティブな評価をより建設的に伝えるためのポイントとは? - GIGAZINE

「やりがい搾取」が発生してしまうメカニズムが判明 - GIGAZINE

生産性について知っておくべき8つの重要な原則とは? - GIGAZINE

in セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.