本当に実施するなら少なくとも
教育を行った後なり、事前にそういったメールが来ることを通知
したほうが良いですよ。

社風や会社の規模にもよるのでしょうが、正直あまりおススメしない啓蒙の手法ですね。。。。
なりすましメールになりすまして、それで釣られた人はいい気がしないでしょう。
馬鹿にされたような気分になる人だって少なからずいるでしょう。

また恐らく、教育を実施するの前に誰かが「なりすましメール来た！」と騒ぎだして
思わぬ業務影響が発生したり、不測の事態が起こることも十分予想されます。

あなただって、もしあなたの友人がこっそり後ろからあなたの荷物をひったくって
不用心だ！
って言われたらどう思いますか？

個人が特定せずに、事前告知なしで送るのがよいと思います。
具体的にどのように実現するかについては、アイディアがありませんが
添付ファイルを開くと特定のサーバにアクセスするようにし、アクセスログからどのくらいの人数が開いたかを追いかけるのは有意義だと思います。
もちろん事前に検証して導入しているメールサーバのスパムフィルター等はすり抜けることを確認する必要があるかと。
(目的がシステムで防げることの確認でなく、啓蒙であるため)

参考になれば幸いです。

こんにちは

Sushi太郎さんの意見に概ね同意です。
仰るとおり「社風や会社の規模にもよる」ので一概にダメとは言えませんね。
そしてその辺りの良し悪しに関しては部外者が口を出さずとも質問者様は十分ご承知ではないでしょうか。
方法に関しても許容される手段もあれば、許容されない手段もありますし、実行するのがそもそも質問者様の責任で行われます。
子供が相手ではないので実行有無に関しては質問者様にお任せすることを前提に、その上で建設的なアイディアをだして行くべきなのかと思いました。

もちろん繰り返しますがSushi太郎さんの意見には概ね同意です。
ただ少し上記の点に違和感を感じましたのでご指摘をいたしました。
悪しからずご理解を頂きますようお願いします。

私にそもそもアイディアないんですけどね。

「標的型メール訓練サービス」というのが、世の中にあるのでこちらを使えば、そんなに角が立たないかと。

メールの数量にもよりますが、初回無料で試す事ができるものもありますよ。

リンクをクリックすると警告サイトが表示。開いた数がレポートで確認できるなど
経営層にセキュリティの重要性を訴えるのに使えると思います。
※余裕がなくて試していないので、ご参考までに

Sushi太郎さん、すなめりさん

早速の返信ありがとうございます。
その点については、
個人情報管理責任者から依頼を頂いており、
トップとも合意形成済みですので、弊社の場合は問題ないことを確認しております。

ただ、仰る通りで、大騒ぎにならないように手を打っておきます。

ozwindさん

ありがとうございます。
一個考えているのが、GoogleAppsを使っているので、
リンクをGoogleサイトに飛ばして、アクセス履歴をとり、
そのアカウントで誰がひっかかってしまったかを判定しようと考えております。
※晒したりはしませんが、ピンポイントで注意する目的です。

リンクの、アクセスした画面で、
「テストでした」といった内容を丁寧にかいておこうかなと考えてまして、
現在の1案です。

ナイス笑顔さん

ありがとうございます。
初回無料のもあって、簡易レポートもとれるならいいかもしれないです。
確かに角が立たないので、ちょっと調べてみます。

事前に社内掲示板か何かで、一般的な注意喚起として
「迷惑メールはクリックしたり添付ファイルを開かないように」
というお知らせをしておいた方がフェアかと思います。

やられた方もそれで納得してもらえるかと。

実際にやったことがあるのは、一時流行った「健康保険組合」からのメールです。本文はネット上の事例から拝借し、添付ファイルは実行時に日時・PC名・ユーザー名を記録する簡単なスクリプトを自作しました。

kadaさん

ありがとうございます。確かにそうするとフェアですね。
周知をちゃんとやり続けるというのは、とても重要なことだと思います。

たきさん

ありがとうございます。健康保険組合のメール、怖いですね…。
はっきり言って、スパムかどうか、見分けがつかないことも多いだろうなと創造します。
アドレスのドメイン名ぐらいしか、判断基準がないような…。
そもそも、そういうメールは誰が出したかを重視しないのが、一般ユーザの感覚でしょうし。

改めて思ったのですが、そもそも、業務にあまり関係のないメールを受信しないというのも重要ですね。
製品を購入したり、名刺交換したり資料請求すると、色んなメルマガが増えますが、実はセキュリティリスクをふやしているとも言えますね。

まさに今、親会社から訓練のメールが飛んできています（笑）

添付を開くとWEBサイトへのアクセスが発生し、自社のURLフィルタにて踏んだ人を追いかけている状況です。（報告の手順は周知してありますが、報告数が足りないと後で親会社から突っ込みが入るため）

手順を周知しても読んでない人、開いたメールが事前周知した訓練の物かわかってない人、添付内に訓練であることや報告の手順を書いてあっても画面に表示される前に閉じてしまう人、などを念頭においた方が良いです。

・メールを開いたか（管理下のWEBサーバーの特定画像を埋め込んでおくとか（HTMLメールで開いてもらわないと判定できませんが））
・メール内のURLをクリックしたかどうか。（リンクのクエリストリングにユニークIDを振っておくと集計が楽？）
・メールの添付ファイルを開いたかどうか。（開いたファイルにいつ、誰がをどこかに記録するスクリプトを添えて）
こんな感じでどこまでやっちゃったか判定するのもありかなと思います。

> 個人情報管理責任者から依頼を頂いており、トップとも合意形成済みですので、弊社の場合は問題ないことを確認

私なら　訓練用であってもニセメールは出しません　いくらお偉いさんがＯＫしたって、いざ問題が起きればお偉いさんは知らん顔して「だから問題になりゃせんかと言っただろう」くらいの事は言います

啓蒙メールの後ろのほうに「ＯＯＯをやってください　やらないと後でチェックして指導にはいります」というのはやったことがあります　何割かの人はメールを読まないので、これにひっかかって指導した　ということはあります。

ユキさん

ありがとうございます。なんと言うタイミングなのでしょう！
人間、ミスしたら隠したくなるものですよね。
注意する点について教えていただき、ありがとうございます。

kidさん

ヤバい順に並べると、以下のような感じですかね。

添付ファイル実行≧URLクリック＞添付ファイル開封＞メール開封

今のところ以下のように考えてます。
・メールの開封の確認は、Benchmarkで行おうと思います。　
　確か無料で試せたはず。
http://www.benchmarkemail.com/jp/

・URLクリックは、Googleサイトリンクを張り、にスクリプトを埋め込む。

・添付ファイルは、標的型メール訓練サービス系で探す

と個人的には考えてます。
私もどこまでどうなるのか、興味あります笑

＞アドレスのドメイン名ぐらいしか、判断基準がないような…
ドメインのなりすましは簡単ですよー

当たり前のことですが、１度で終わらせずある程度時間を置いた後に再度訓練用のメールを配信し、セキュリティルールの浸透具合を数字で比較できるようにするのが重要です。
そのためにも自動で集計する機能は必須。

desatoさん

なかなか、全員やってくれないものですよね。

全員に催促するメールや、やりとりがゼロになれば、
どれだけ仕事が減るのだろう…と良く感じます。
仕組み考える時間も不要になりますし…

パワーメントを使って
軍隊的に「やれ！」と命令したくないのですが、
一部はどうしても、そうならざるを得ないですね。
弊社はある程度トップが理解があるので、協力してもらって進められるので
やりやすいほうですが、それでも、います。

会社の方針にもよりますけど、「セキュリティ対策のために訓練やろうか」くらいであれば、自前でもできます。２回やるほうが良いのでは？教育前の演習と、教育後の演習で効果を数値評価できますよね。

リスク低減のための数値目標がある場合、標的型メール攻撃の訓練は、外部に発注した方が費用対効果が断然良いと思います。この場合、経営がリスク許容できる金額まで開封率を落とし込まないといけないので予算取りと企画が大変ですね。

のーすさん

すみません、メール周りはあまり詳しくないのですが、
もしご存知なら、お知恵を拝借したいです。

ドメイン名の詐称は確かに簡単なのですが
GoogleAppsを使ってまして、
SPFレコードの登録がない場合や、疑わしい場合は、
「迷惑メールの可能性がある」的なメッセージが表示されるのものだと
思っているのですが、認識あってますでしょうか？
説明不足ですみません。

たしかに、複数回送付して、効果測定することは重要ですね。
ありがとうございます。

のーすけさんじゃないですけど、GoogleApps管理者なので回答します

>GoogleAppsを使ってまして、
>SPFレコードの登録がない場合や、疑わしい場合は、
>「迷惑メールの可能性がある」的なメッセージが表示されるのものだと
>思っているのですが、認識あってますでしょうか？

ご認識のとおりです。あとDKIMも考慮した方がいいでしょう

> > 個人情報管理責任者から依頼を頂いており、トップとも合意形成済みですので、弊社の場合は問題ないことを確認
>
これだとあなたが吊し上げられたときに「いや、経営陣がやって良いって言ったから」とは言えますが、啓蒙にはあまり繋がらないと考えます。

啓蒙したいということは、ヘンなURLをクリックする事象をゼロにしたいだけでなく、そもそもの情報セキュリティへの意識をもっと高めたいというように聞こえました。
これは、ずーっと継続することですし、新入社員の人も入社してきますよね。
そのためには、主だった人たちは一枚岩になってもらいたいし、スタッフの皆さんがあなたからの発信や注意喚起に傾聴したり、積極的に協力してくれる状態にしたいところですよね。
Sushi太郎さんのおっしゃるとおり、いきなりなりすましメールが送られることを、全員が快く思いません。今後の啓蒙活動のためにも、そういった話題を気軽に話せたり、問題提起できる状況にもっていけることが重要だと思います。
経験上 急がば回れです。
当初は、なりすましメールが送付されることをしつこいくらい通知して、月イチくらい実施する。
それでも、社内では何人かが引っかかるので、各部署でそれを話題にしてもらうのと同時に、誰かに配信されたホンモノのなりすましメール情報も共有する、という活動を地道に続けてみて、ゼロか1件になったら、次に未通知の抜き打ち実施するかどうかを皆さんの意識をみながら検討する。　というカンジで進めてみてはいかがかと思います。
案外、ゼロか1件になる前に、ユーザからホンモノのなりすまりメール情報があなたに届くようになっているかもしれないですよ。

03kさん

ありがとうございます。DKIMも確認してみます。

unknown catさん

そうですね…ちょっと考えます。
抜き打ちメールを一発目に送信は「脅し」感がでてしまうので、それはないなーと思ってます。啓蒙の手段でしかないので、心理的な負荷が少ない方法ですすめるべきかもしれません。

＞ 全員に催促するメールや、やりとりがゼロになれば、どれだけ仕事が減るのだろう
同感です
まぁ やらない人がある程度の割合で居るのは仕方のないことかもしれません
それより頭に来るのが、いままで訳知り顔で賛同していたお偉いさんが このことになると
「君ぃ　こういう事がメールだけで済むと思ってはいかんよ」などと”やらない奴の肩を持つ”のです。まるでこちらのやり方が悪いみたいに言うのです。　やってられませんね

専用サービスで少量なら無料で使えるサービスがあります。メールテンプレートもあるので参考になりそうです。

無料プランがある標的型メール訓練サービス
http://www.cyas.jp

多数の配信文面を用意
標的型攻撃を模した訓練メールの文面は、トレンドを意識して作られた多数の文面テンプレートから選択する事ができます。