三井住友海上、あいおいニッセイ同和損保、MS＆ADインターリスク総研、行動経済学を応用した標的型メール訓練サービスの提供を開始

三井住友海上ならびにあいおいニッセイ同和損保、MS＆ADインターリスク総研の3社は、5月21日から、BEworksInc.※1（以下「BEworks社」）との共同研究による、新たな標的型メール訓練サービスの提供を開始する。
標的型メール訓練では、実際の攻撃を模したメールを受信することにより、受信者の開封率低下を促すとともに、受信時の適切な対応を実践・習得することが期待される。しかし、メールの開封率ばかりに注目し、不審メール開封の有無にかかわらず「取るべき行動」ができなかった者に対して十分なフォローアップが行われていないケースが散見される。
本サービスは、個人ごとに対応を評価して適切な教育機会を提供するとともに、行動経済学※2の代表的な考え方である「ナッジ」を応用して、従業員の「学び」のモチベーション向上も図る。
MS＆ADインシュアランスグループは、今後もグループ各社のノウハウを結集し、多様化するお客さまニーズに応える商品・サービスの開発を積極的に進めていく。
1．サービス開発の背景
新型コロナウイルスの世界的な感染拡大の影響を受けて、多くの企業でテレワークが推進されている一方、総務省「テレワークセキュリティガイドライン第4版（平成30年4月）」でも指摘されている通り、テレワーク勤務者のルール遵守や本人の自覚が重要である。
その中でも、情報セキュリティ上の重大な脅威である「標的型攻撃による機密情報の窃取」等へのルール徹底や個人の意識向上などの備えは、企業のリスクマネジメントにとって極めて重要な取組課題となっている。こうした状況を踏まえ、3社は、本サービスの提供を開始した。
2．サービスの概要
本サービスでは、これまでの標的型メール訓練サービスの課題を解決するため、標的型攻撃を巧妙に模した「訓練メール」を対象者に送信し、個人ごとに対応を評価して適切な対応が行える教育機会を提供する。また、行動経済学の代表的な考え方である「ナッジ」を活用することで、従業員の「学び」のモチベーション向上も図る。
＜3つのStepによるサービス提供のイメージ＞
■Step1：事前学習メール
訓練メールを送信する前に、事前学習メールを送信し、行動経済学の手法を踏まえた効果的な学習を促す。オリジナルの四コマ漫画等のツールを活用し、「つい読みたい＝学習したい」という行動を引き出すとともに、該当ページにアクセスしている時間を計測し、個人の学習の深度も把握する。
■Step2：訓練メール
訓練で誤った対応をした訓練参加者が今後適切な対応を行えるよう、新たに行動経済学の手法を踏まえた行動変容を促す仕掛けを導入する。何をすればよいか一目瞭然で、今後迷わずに行動できるような学習コンテンツを提供する。
■Step3：事後学習メール（種明かしメール）
訓練終了後に事後学習メールを送信し、訓練の目的や不審メールの特徴、引っ掛かりやすいポイントを学習することで、訓練で誤って標的型メールを開封した方だけでなく、正しく対処できた方にも、さらなるレベルアップの機会を提供する。
3．期待される効果
（1）複数の学習機会の提供によるリテラシーの向上
事前学習メールにより標的型攻撃メールの脅威や特徴に関する知識を身に付けた上で、訓練に臨むことができる。また、適切な対応ができた方にもできなかった方にも、訓練後の事後学習メールにより振り返りの機会を提供する。
（2）リスク感度や学習の深度に応じたフォローアップの実現
参加対象者ごとに訓練メール開封有無や各学習コンテンツの閲覧時間を記載した標的型メール訓練報告書を提供する。各人の不審なメールに対するリスク感度や学習の深度に応じたフォローアップに活用できる。
（3）簡単操作による準備作業の負担軽減
企業が自前で実施するにはツール作成等に多大な労力を必要とするが、本サービスでは、すべてのツールをワンストップで提供する。訓練を希望する企業の担当者は、「訓練参加者リストのシステムへのアップロード」と「3つのStepによるメールの送信」だけで訓練が実施できる。
4．利用方法
三井住友海上またはあいおいニッセイ同和損保の営業課支社や代理店に問い合わせること。
添付別紙：「情報セキュリティ10大脅威2020・脅威ランキング［組織編］」
https://www.aioinissaydowa.co.jp/corporate/about/news/pdf/2020/news_2020052100685.pdf