前述のように、予防だけではなく検知・対応もできるようにしないといけないのは現状だが、検知・対応をどうやって実現するかは「報告に基づいた対応」を行うのが安直ではあるが現実的だ。
あらかじめ組織内や関係者に「何かおかしいと思ったら連絡報告を」と呼びかけているのが前提ではあるが、実際に「開封」してしまって「やばい」と思った人からの報告を受け付けるような訓練は、有効に機能するという考えを持っている。
もちろん、運用監視の中で検知されるような通信を発生させるようにして、運用監視チームからの報告があがってくるか？てのを見てもよい。

ちなみにこれをやるといいことがいくつかある（と考えている）。

• ユーザの訓練に加え、事故対応部署の訓練も行える
• 実際に策定している報告／連絡時のワークフローや手順が機能するかの確認を行える
• ある程度実施できてくると、開封率と連絡率の両方を取れて、自組織での傾向と改善のやり方を定量化しやすくなる
• CSIRT側で、訓練に対応した擬似攻撃を検知できるかどうかの確認を行える（そういう仕掛けにした場合）