結論:訓練は「実施したか」ではなく「報告につながるか」で評価しないと人の対策は機能停止する
標的型メール対策の失敗で最も多いのは、訓練を一度もやっていないことではない。訓練を「やったことにしている」ことである。年1回、全員に同じテンプレートのメールを送り、開封率とクリック率を集計して報告書を作り、引っかかった人に注意して終わる。この運用は監査やチェックリストの上では「人的対策を実施済み」に見えるが、実際の攻撃メールが届いたとき、従業員が一刻も早く報告するという肝心の行動にはつながらない。むしろ叱責の記憶が報告をためらわせ、被害の発見を遅らせる。
- 形だけの訓練は「対策済み」という安心だけを生み、実際の攻撃時の行動を変えない。
- 開封率・クリック率だけの評価は、「気づいて報告した人」というセキュリティ上最も重要な行動を測っていない。
- 引っかかった人を叱る運用は、本物の攻撃で「黙っている」インセンティブを作り、被害を拡大させる。
- 評価指標は報告率と報告までの時間へ移すべきで、クリック率ゼロは目標にならない。
- 訓練は技術対策の代わりではない。メールフィルタ・MFAと役割分担して初めて多層防御になる。
この連載は「セキュリティ対策の失敗図鑑」として、中堅・中小企業がつまずきやすい対策の落とし穴を一つずつ分解している。第11回となる本稿は、EDRという技術対策を入れて安心してしまう失敗を扱った第1回や、インシデント発生後の初動・報告フロー未整備を扱った第5回とは切り口を分け、「人の対策」が制度としては存在するのに機能していない状態、すなわち訓練の形骸化に絞って解説する。なお、机上演習やレッドチーム演習を含む年間の訓練計画の立て方はセキュリティ訓練の年間計画ガイドで扱っており、本稿は計画の有無ではなく「訓練があっても形骸化する構造」を起点に据える点で論点が異なる。
なぜ「形だけの訓練」で人の対策が止まるのか
年1回・全員同じメールの訓練は、効果の減衰に追い付かない
セキュリティ教育の効果は時間とともに薄れる。当社のセキュリティ教育・フィッシング訓練 導入ガイドで整理したとおり、研究によればセキュリティ教育の効果は受講後4〜6ヶ月で著しく低下することが確認されており、フィッシング訓練の推奨頻度は四半期ごと(年4回)である。年1回の訓練では、残りの期間の大半が「効果の空白」になる。さらに全員へ同じテンプレートを一斉送信すると、最初に気づいた誰かが「訓練メールが来ているらしい」と周囲に伝え、訓練は瞬時に「答え合わせ済みのテスト」になる。数字の上ではクリック率が低く出るが、それは警戒力の証明ではなく、訓練設計の穴の証明である。
開封率・クリック率だけの評価は「最も重要な行動」を測っていない
形骸化した訓練のもう一つの特徴は、評価が開封率とクリック率で止まることである。実際の攻撃で組織を守るのは、「クリックしなかった人の数」ではなく、「不審なメールに気づき、すぐ報告した人」である。報告が1件あれば、情報システム部門は同じメールを受け取った他の従業員へ注意喚起し、メールの隔離や接続先の遮断に動ける。つまり報告は個人の正解ではなく、組織全体の検知能力である。開封率だけを集計する訓練は、この検知能力を一切測定していない。クリック率が下がった報告書を経営層に出して安心する一方で、本物の攻撃メールが届いた日には誰も報告せず、感染端末が放置される。
「引っかかった人を叱る」運用は報告を止め、被害を拡大させる
最も害が大きいのが、訓練で引っかかった従業員を叱責し、名指しで公表し、人事評価に響かせる運用である。前掲の導入ガイドでも、罰則ベースのアプローチは従業員がインシデントを隠蔽するリスクを高めると整理した。メカニズムは単純である。叱られた経験を持つ従業員は、本物の攻撃メールのリンクを踏んでしまったとき、「報告すればまた叱られる」と考えて黙る。攻撃側にとって、被害者が黙っている時間はそのまま侵害を広げる時間である。認証情報を盗まれてから報告までの空白が長いほど、横展開・データ持ち出しは進む。初動対応の体制をどれだけ整えても(この論点は第5回で扱った)、最初の一報が上がらなければ初動は始まらない。叱責文化は、人的対策を「機能停止」させるどころか、報告遅延という形で被害を能動的に拡大させる。
データで見る:なぜ「人の対策」を捨てられないのか
数値はいずれも前掲のセキュリティ教育・フィッシング訓練 導入ガイドで整理したものである。
- Verizon社の「Data Breach Investigations Report(DBIR)」によれば、データ侵害の起点としてフィッシングメールが占める割合は約91%に達する。技術的な脆弱性よりも人的脆弱性が圧倒的に多く悪用されている。
- IBMの「Cost of a Data Breach Report 2025」によれば、データ漏洩1件あたりの平均被害額は約488万ドル(約7.3億円)である。
- フィッシング訓練の業界平均(参考値)では、初回のクリック率は15〜30%、不審メールとして報告した割合(報告率)は10〜20%にとどまる。
- 成熟した組織の目標目安は、クリック率5%以下、報告率70%以上である。
この数字が示すことは二つある。第一に、攻撃の起点の大半がメールである以上、「人の対策」を放棄する選択肢はない。第二に、成熟組織の目標ですらクリック率は5%以下であってゼロではない。誰かが必ずクリックする前提に立てば、評価の主軸は「クリックさせないこと」から「クリックされても素早く報告・検知されること」へ移るのが論理的な帰結である。初回で10〜20%にとどまる報告率を70%以上へ引き上げることこそ、訓練が担うべき仕事である。
形骸化した訓練と機能する訓練の違いを比較する
| 観点 | 形骸化した訓練 | 機能する訓練 |
|---|---|---|
| 目的 | 実施実績を作る(監査・チェックリスト対応) | 報告という行動を組織に定着させる |
| 頻度 | 年1回 | 四半期ごとなど、効果の減衰を前提に反復 |
| メール設計 | 毎回同じテンプレートを全員へ一斉送信 | 複数パターン・難易度を変え、配信時刻もずらす |
| 評価指標 | 開封率・クリック率のみ | 報告率・報告までの時間を主軸に置く |
| 引っかかった人への対応 | 叱責・名指し公表・人事評価へ反映 | その場でのフィードバックと追加教育 |
| 報告した人への対応 | 特になし | 評価・表彰し、報告文化として組織に示す |
| 結果の使い方 | 報告書を保管して終わり | 弱点を次回の難易度・テーマ設計へ反映 |
| 技術対策との関係 | 訓練単独で「人的対策済み」と見なす | メールフィルタ・MFAとの多層で設計する |
訓練のKPIは、最低でも4つに分けて見るべきである。クリック率だけでなく、報告率、報告までの中央値、報告後にSOC・情シスが初動に入るまでの時間である。たとえば年4回の訓練を行い、1回目は現状把握、2回目は報告手順の改善、3回目は部門別の弱点補強、4回目は実攻撃に近いシナリオでの確認と位置づける。90日ごとに訓練テーマを変え、結果をメールフィルタ、MFA、インシデント対応手順の見直しに接続すると、訓練は「教育イベント」ではなく検知力の改善サイクルになる。
評価指標を「報告率・報告までの時間」へ変える
指標を変えると、訓練の設計も従業員の行動も変わる。報告率を主指標にすれば、訓練の合格条件は「引っかからないこと」ではなく「気づいたら報告すること」になり、報告手段の整備(報告ボタンや専用窓口の一本化、報告先の周知)が訓練とセットで進む。報告までの時間を測れば、最初の報告が何分で上がるかという、実際のインシデント対応で初動の速さを決める数字がそのまま見える。クリックしてしまった人が自ら申告した件数を別枠で数えるのもよい。自己申告は叱責文化の下では決して出てこない数字であり、報告文化が根付いたかを測る最良の指標になる。
訓練と技術対策の役割分担:メールフィルタ・MFAと多層で守る
訓練を強化しても、人のクリック率をゼロにはできない。だからこそ役割分担が要る。入口ではメールフィルタやなりすまし対策で攻撃メールの絶対量を減らす(この層はメールセキュリティの領域である)。それでもすり抜けたメールに対して、訓練で鍛えた「気づいて報告する」行動が検知の網になる。さらにクリックして認証情報を入力してしまった場合に備え、MFA(多要素認証)で資格情報の悪用を食い止める。逆に「MFAがあるから訓練は不要」も誤りで、MFA疲労攻撃や中継型フィッシングのように認証を突破する手口は存在するし、添付ファイル実行型の攻撃にMFAは無力である。技術が量を減らし、人が検知し、技術が被害を限定する。この組み合わせを設計せず、訓練だけ・製品だけのどちらかに寄せることが、人的対策の機能停止の正体である。技術対策を「導入した」ことと「機能している」ことの落差は第1回で扱ったとおり、訓練にもそのまま当てはまる。
点検の具体策(チェックリスト)
自社の標的型メール対策が形骸化していないか、次の項目で点検したい。
- 訓練の目的が「実施実績づくり」ではなく「報告行動の定着」として文書化されているか。
- 評価指標に、開封率・クリック率だけでなく報告率と報告までの時間が含まれているか。
- 引っかかった従業員への対応が、叱責や人事評価への反映ではなく、即時フィードバックと追加教育になっているか。
- 正しく報告した従業員を評価・表彰する仕組みがあり、全社に周知されているか。
- 訓練の頻度が年1回で止まっていないか。効果の減衰を前提に反復する計画になっているか。
- 訓練メールが毎回同じテンプレート・同時刻の一斉配信になっていないか。
- 不審メールの報告先と手順が全従業員に周知され、迷わず報告できる手段(報告ボタン等)があるか。
- メールフィルタ・MFAなど技術対策との役割分担が整理され、クリック率ゼロを前提にした設計になっていないか。
複数の項目に該当するなら、訓練は「ある」が「効いていない」状態である。訓練メールの設計・配信から報告率の測定、フォローアップ教育までの組み立てはセキュリティ教育・訓練支援で支援している。
GXOに相談する前に整理しておくとよい情報
- 直近の訓練の実施時期・頻度と、そのときの開封率・クリック率・報告率(測っていなければ「測っていない」という事実)。
- 引っかかった従業員への現在の対応ルール(叱責・教育・評価反映の有無)。
- 不審メールの報告先・報告手順の現状と、実際に報告が上がった件数。
- メールフィルタ・MFAなど技術対策の導入状況。
- 訓練にかけられる年間予算と、社内で運用を担える担当者の有無。
これらが揃っていると、訓練の頻度・難易度・指標設計を自社の現在地から逆算できる。報告が上がった後の初動体制まで一体で見直す場合は、インシデント対応支援も併せて入口になる。
関連記事
- 特集トップ:セキュリティ対策の失敗図鑑
- 第1回:EDRを入れて「対策済み」と思い込む失敗
- 第5回:初動・報告フロー未整備の失敗
- セキュリティ教育・フィッシング訓練 導入ガイド【2026年版】
- セキュリティ訓練の年間計画ガイド(机上演習・レッドチーム)
- セキュリティ教育・訓練支援
- メールセキュリティ
よくある質問
Q1. 訓練で引っかかった従業員を叱るのは、なぜ逆効果なのか。
叱責は「引っかかったら隠す」というインセンティブを作るからである。本物の攻撃でリンクを踏んだ従業員が報告をためらえば、その沈黙の時間だけ侵害は進む。罰則ベースのアプローチは従業員がインシデントを隠蔽するリスクを高めるため、引っかかった人には教育を、報告した人には評価を、という運用へ切り替えるべきである。
Q2. クリック率が下がれば訓練は成功と言えるか。
言えない。クリック率は同じテンプレートの反復や事前の口コミでも下がるため、警戒力の指標としては弱い。成熟組織の目標目安ですらクリック率5%以下であってゼロではなく、誰かがクリックする前提は崩せない。組織を守るのは報告による早期検知であり、報告率と報告までの時間を主指標に置くべきである。
Q3. 訓練はどのくらいの頻度で実施すべきか。
四半期ごと(年4回)が推奨である。研究によればセキュリティ教育の効果は受講後4〜6ヶ月で著しく低下することが確認されており、年1回では効果の空白期間が長すぎる。毎回パターンと難易度を変え、結果を次回の設計に反映する反復が前提になる。年間の訓練計画への組み込み方は本稿の関連記事で扱っている。
Q4. 訓練を徹底すればメールフィルタやMFAは不要になるか。
ならない。訓練で人のクリック率をゼロにはできず、逆に技術対策だけでもすり抜けは必ず起きる。メールフィルタで攻撃メールの量を減らし、訓練で「気づいて報告する」検知力を育て、MFAでクリック後の認証情報悪用を食い止める、という多層の役割分担が必要である。どれか一つに寄せた瞬間に、そこが単一障害点になる。
標的型メール対策は、訓練を「実施したか」ではなく「報告につながったか」で評価した瞬間に機能し始める。自社の訓練が形骸化していないかの点検、報告率を主軸にした訓練プログラムの設計・配信・効果測定でお困りの場合は、無料相談から現状の訓練結果と運用ルールを持ち込んでいただきたい。