「メール訓練」という商品からずっと一定の距離を置いてきた(※)株式会社TwoFive が、満を持してメール訓練を含む総合トレーニングサービス「 EXTRAIN/25 」(エクストレイン トゥーファイブ)の提供を本年 6 月に開始しました。
同サービスの準備にあたって社内では「(メール訓練のリンクを)開いてしまった人を名指しで注意しても、あまり意味はないのでは」という議論もあったそうです。近年ではその効果が疑問視されているメール訓練を含む、メール周りの教育訓練が国内随一のメール専門家集団TwoFive によってどのようにアップデートされるのか、どう答えを出したのか取材しました。
(※ 2014 年 TwoFive創業、メール訓練が年金機構のインシデントで大注目を受け各社の参入が殺到したのが 2015 年。参入していないことには明確な意思を感じる)
--
ソーシャルメディアが当たり前という Z 世代を中心に、現在の若手社会人にとって、「メール」でのコミュニケーションはどうも苦手だという。そもそも、就職するまでメールでやり取りする機会が少ないこともあり、仕事で活用する上でのふさわしい使い方はもちろん、セキュリティやプライバシーの観点から避けるべき振る舞いについて、しっかり知る機会があまりないようだ。
だが実際には、メールはビジネスのさまざまな場面で主要な連絡手段として使われている。ちょっとした使い方のミスや行き違いが、顧客の信頼を損ねたり、プライバシーを危うくしかねない。またサイバー攻撃や詐欺の手段としても引き続き悪用されており、IPA の「情報セキュリティ10大脅威」でも、メールを悪用した脅威がランクインするのが通例となっている。
メール技術者の専門家集団である株式会社TwoFive では、こうしたギャップを埋めるため、いま一度、メールの基本的なマナーや仕組みの解説にはじまり、システム管理者やマーケティング担当者向けのより高度な技術的解説までをカバーする教育サービス「EXTRAIN/25」を開始した。その狙いについて、同社の代表取締役、末政延浩氏に尋ねた。
●ニッチ化したからこそ求められる、メールに関する総体的なトレーニング
IT運用やネットワークセキュリティに携わる人ならば、TwoFive という社名を聞いて「なるほど」と思うだろう。SMTPプロトコルが用いる TCP/IP 25 番ポートを社名の由来に持つ TwoFive は、その名の通り、メールにこだわってきたプロフェッショナル集団だ。設立以来、メールおよびメールセキュリティの専門家としてさまざまなサービスやコンサルティングを提供してきた。
末政氏自身も、最も広く使われてきた MTA といっていい Sendmail の商用版をサポートしていた Sendamail Inc. の日本法人の立ち上げメンバーであり、20 年以上にわたりメールの世界に携わってきた人物だ。他にも、通信事業者や ISP、あるいはシステムインテグレーターなどで大規模メールサービス・システムの構築や運用に携わってきた専門家が同社には集まっている。近年はメールセキュリティの取り組みを強化しており、長崎県立大学で専門的に学んだ新卒エンジニアも加わるなど、陣容を強化しているところだ。
その末政氏らが見るところ、「昔はシステムインテグレーターや通信事業者にチームとしていたメールの専門家が、年を経るごとに見えなくなってきたように思います」という。
インターネットが普及し始めたころは、自前で DNSサーバやメールサーバを構築することが求められ、専門書を読んで試行錯誤し、ときにエラーと格闘しながら運用するのが常だった。それが徐々にシステムインテグレーターや通信事業者が運用を肩代わりするようになり、さらに 2000 年代後半からは Gmail や Microsoft 365 のようにクラウドベースで、SaaS形式で提供されるメールサービスが普及している。こうした変化に伴って、メールに関する技術も「ニッチ化」しているのが実情だ。
だが「それをきちんと勉強したいと考える人たちも確実に存在します。日本における随一の電子メール技術者集団として、『自分たちがやらねば誰がやる』と、そうした高いレベルのトレーニングを出していこうと決意しました(末政氏)」
確かに、RFC などを読めばメールや SMTP などのフォーマットは理解できる。しかし「インターネットワイドでの、システムとしてのメールのアーキテクチャをどう実装させるべきかまではドキュメント化されていません。しかも、それらを構成する技術や環境もどんどん変わっています(末政氏)」。こうした総体的なコンテンツをメール技術者向けはもちろん、一般のユーザーにもかみ砕いて提供し、メールに関する最新の知識を身につけてほしいと考えている。
●「CC と BCC の違い」にはじまり DMARC が求められる背景までをカバー
元々 TwoFive では、個別の要望に応じて DMARC に関するトレーニングなどを実施してきた。そうして蓄積してきたコンテンツを元にしたのが EXTRAIN/25 だ。EXTRAIN とは、「Expert」や「Extra」に、トレーニングや、前に向かって進んでいく電車(Train)などのイメージを掛け合わせた造語だという。
EXTRAIN/25 には大きく「講習」と「訓練」の二つのメニューがあり、講習はさらに「メールを利用する一般社員向け」「システム担当者向け」、そして「マーケティングメール担当者向け」の三つに分けられている。
とはいえいずれも定型メニューではなく、まず「誰を対象に、どのようなトレーニングを実施していくか」について顧客と打ち合わせを行って実施形態やスケジュールを決め、必要に応じてコンテンツにもカスタマイズを加える形だ。「新たな事件や業界に影響を与える動きもあるため、常にそういった動向を取り込むようにしていきます(末政氏)」
たとえば一般社員向けの講習としては、メールの仕組みの大まかな解説だけでなく、「CC と BCC の違い」にはじまり、文字化けが起きる理由やチェーンメールを送ってはならない理由など、知っているようで知らない基本的な知識を解説するメールマナーに関して学ぶことができる。古くからのインターネット利用者によっては、「え、そんな基本的なことから?」と思うような基本的な内容も含まれているが、そうした事柄こそ暗黙知になりがちで、きちんと学ぶ機会が意外と用意されていないものだ。
その上で、フィッシングメールや標的型攻撃メール、BEC といったメールを取り巻く脅威についてのコンテンツも用意している。「メールのマナーからセキュリティに至るまで、すべてまとまった形のトレーニングはあまりなかったこともあり、お引き合いをいただいています」と末政氏は述べている。
「IT とあまり縁のない職場で働いている方々に『フィッシングメールがどうこう』といっても、『変なメールがたくさん来るよね』程度でなかなかピンとこないのも実情です。そうした方々にどうトレーニングしていくかを考えながら、継続的にブラッシュアップしていきます(末政氏)」
こうしたユーザー向けの講習もさることながら、TwoFive の強みが特に発揮されるのは、システム担当者やマーケティング担当者向けの講習だろう。
TwoFive はメール関連のソリューションを提供するだけでなく、一般財団法人インターネット協会の迷惑メール対策委員会や、JPAAWG(Japan Anti-Abuse Working Group)など、官民挙げての迷惑メール対策活動に参画し、SPF や DKIM、DMARC といった送信ドメイン認証技術をはじめとする標準技術の啓蒙活動にも取り組んできた。こうした経験を踏まえ、「DMARC についてきちんと説明でき、それに基づいた適切な送信方法について説明できることが我々の強みです」と末政氏は述べた。
DMARC については、 経済産業省、警察庁および総務省三省が共同でクレジットカード会社に対して出した要請や、Google と米Yahoo! という二大メールサービスプロバイダーが打ち出した「No Auth, No Entry」という新しいポリシーをきっかけに注目が高まり、説明される機会も増えてきた。しかし「実際には誤った設定になっていたり、効果的に使われていないケースも多いようです」と末政氏は指摘する。
TwoFive のトレーニングでは、概説に始まり、設定やレポートの分析方法に至るまで、DMARC について深く学べるのはもちろんだが、「テクノロジそのものだけでなく、それがなぜこのような形態になっているのか、なぜ重要なのかと言った背景まで含めて説明する必要があります(末政氏)」というように、こうした活動に継続的に携わってきた TwoFive ならではのナレッジを生かして、本質を踏まえて学べる点が特徴だとした。
もう一つユニークなのがマーケティング担当者向けのトレーニングだ。新商品の案内やセミナー告知など、マーケティング目的で大量にメールを配信する場面は相変わらず多いが、きちんと DMARC や BIMI、その他の設定を行わなければ、迷惑メールに分類されたり、そもそも Gmail や Yahoo! Mail に受け取ってもらえない、という事態になりかねない。
「TwoFive には、長年にわたって大量メール配信に携わってきたエンジニアがいます。その知見に基づいて、メール配信時にはどのようにすれば到達率が上がるのか、どのような配送事業者を選べばいいのかと言った事柄を、最新のメールの状況に合わせてトレーニングしていきます(末政氏)」
●「誰がクリックしたか」ではなく「踏んだ後どうするか」にフォーカスした訓練も
EXTRAIN/25 ではこうした講習に加え、訓練メニューも用意されている。フィッシングや標的型攻撃を模した訓練メールを社員に配信し、うっかりクリックしてしまった数などを把握して、改善に向けた提言を行うサービスだ。
ただ、訓練メニューの提供に当たっては、すでに多くの競合サービスがある。加えて TwoFive社内でも訓練の意義を巡って議論があったそうだ。
「長年メールのセキュリティに関わってきただけに、標的型攻撃やフィッシングのメールを踏まないようにするのがどれだけ大変なのかは、身に染みてわかっています。だからこそ、訓練メールを送って開いてしまった人を名指しで注意しても、あまり意味はないのではないかという議論がありました(末政氏)」
だが、そうしたメールを踏んでしまうことが避けられない以上、「踏んだ後どうするか」が大事ではないかという思いから、あえてメニューに加えることにしたという。
「誰でも踏むときは踏んでしまいます。ですから、『誰が踏んだか』を問題にするのではなく、『踏んだ後、どのようにそのインシデントを扱えばいいのか』をトレーニングしていこうというのが、TwoFive なりの答えです」(末政氏)
この訓練は、「どのようなタイミングで、誰を対象に実施するか」をヒアリングした上で実施し、開封率や部署ごとの傾向などをレポートしていく。誰が引っかかったのかを名指しで注意することに重きを置くのではなく、全体の傾向を把握し、見える化した上で「次にどのような対策を取るべきか」を提言する点が特徴だ。「訓練メールを送っても、実際には単にメールを見ないので引っかかりもしない、というユーザーがいるという事例もあります」(末政氏)という。
さらに、必要に応じて SOC や CISRT向けに、メールのインシデントをきっかけに何が起こり、影響範囲はどこまで広がったのかを調査するフォレンジックやインシデント対応についても、座学でカバーする内容になっている。
「あくまで誰が踏んだかを検知するよりも、その後どのように対応したかにフォーカスして訓練を実施していきます」(末政氏)
●これまでもこれからもメールはなくならないからこそ求められる正確な知識
冒頭にも触れたとおり、若い世代にとってメールはなじみの薄いツールであり、就職してから本格的に使い始める場合も少なくない。それ以前からもたびたび、「チャットツールなどの普及に伴って、メールは消えていくだろう」と指摘されてきた。
だが、実際には消えるどころかどんどん活用の場は広がっている。生成AI もその見方に同意のようだ。
あるとき末政氏は、Gemini にこう尋ねてみたそうだ。「20 年前ぐらい前、電子メールはなくなると言われていました。現在はどういう状況なんでしょうか?」
すると Gemini の回答は、「インターネットメールは新しい技術に取って代わられると予想されていましたが、しかし、現在もインターネットメールは広く利用されています」というものだった。
また、タイミングを変えて同じように質問してみると、今度は「やり取りの内容がすべて記録として残り有効な証拠として扱われること、そして大量のデータをやり取りできることから、メールはビジネスの中では非常に重要なツールになっています」と回答が返ってきたという。
消える消えるといわれながら、むしろ活用され続けているメール。そのメールを適切に、そして安全に使うため、EXTRAIN/25 のようなトレーニングの役割もますます増していくのではないだろうか。
