「不審なメールは開くな。特に添付Fileに要注意」というのは、かなり多くの人に浸透してきた留意事項と思う。「COVID-19」対策でいうなら「手を洗いましょう。マスクをしましょう」くらいの話。同じウイルス対策なのだが、マルウェアなどのウイルス対策にも上記のような考えを広めるため、公衆衛生になぞらえ「Cyber Hygiene」ということもある。

 

　さて意識として浸透してきたとは言っても、実際にそれが出来るかどうかは別の話。あるサイバーセキュリティの研究施設で、駐車場に故意にUSBを落としておいたところほとんどの研究者がそれを拾い、自分のPCに挿してしまったという。特に高位の研究者（管理者）ほど、引っかかった率が高かったという。

 

　そこで多くの企業では、いろいろな訓練を施し、意識と実践を合わせるように努力している。ただ識者によると、日本の企業の訓練はネガティブな傾向が強く、効果は不十分だという。どうネガティブかというと、

 

　　　　

 

・不審（訓練）メールを社内に送り、部署ごとの開封率を見る。

・開封率の高い部署は、管理部門や経営者から怒られる。

・そこで訓練そのものが蔑視され、実施（管理）部門は各部署の敵になる。

 

　というわけ。表面上は「訓練ありがとうございました」と言っていても、訓練実施部署に対しては「言うことなんかきいてやるもんか」という反発が強くなり、いざという時の対応能力に悪影響がある。

 

　ではどうすればいいかと言うと、

 

・訓練メールを社内に送るのは同じでも、各部署の報告率を見る。

・怪しいメールが来たと報告すれば１点、開けてしまっても報告すれば0.5点。

・報告しなければ０点で、合計点で部署の成績比べ、優秀な部署を表彰する。

・ご褒美にはランチチケットなどが有効。

 

　各部署は自発的にランチチケットを目指して「報告」を競うようになり、訓練部署への悪感情は発生しない。こういうのがポジティブな訓練だという。

 

　これはほかのテーマでも同じで、各部署が自発的に取り組む環境を作るのが、経営者とスタッフの役目。愚かな経営者と経営者が登用したスタッフが、無用な締め付けをして組織をぶち壊した例は歴史上無数にある。対フィッシング・メール訓練のような些細なことからでも、その組織の本質が見えてくるようです。