「こんなメール、誰も引っかからない」は本当か?情報セキュリティ担当者と社員のリテラシーギャップから考える訓練メールの難易度設計

🤔これじゃ訓練にならないよ。は本当か?

社内で訓練メールの文案を作成した際、こんな声が上がったことはないでしょうか?

この程度のメールじゃ誰も引っかからないよ。もっと巧妙に作らなきゃ訓練にならない

しかし、その意見を鵜呑みにして訓練メールの難易度を上げすぎると、本来の目的である社員の気づきと教育から大きく外れてしまう恐れもあります。

本記事では、セキュリティ担当者と一般社員との間にある「情報リテラシーのギャップ」に焦点を当て、訓練メールの難易度をどのように設計すべきかを考察します。

🧠 1. セキュリティ担当者の“常識”は、社員の“非常識”

  • セキュリティ担当者は日常的に攻撃手法や脆弱性の情報に触れています。
  • 一方、経理・営業・事務などの多くの社員は「メールのリンクをクリックするのは業務の一部」であり、違和感を持たないことも。
  • 例:セキュリティ担当者が「このリンクは怪しい」と即座に判断した文面でも、一般社員は「またマニュアルの更新通知か」と思ってクリックしてしまう。

セキュリティに限らず、世の中には自分の想像を超えることが結構起きています。
例えば、ニュースで耳にすることの多い「振り込め詐欺被害」などは、「なんで気づかないの?」と思う方も少なくないはずです。

しかし、被害に遭った当人は「全然気づかなかった」というのが実際です。

自分が見て「こんなメールに誰がひっかかるの?」と思うようなものも、一旦、自分の常識を脇に置いて、本当に誰も引っかからないのか、確認してみることも必要です。

📊 2. 実際にクリックされている“意外なほど単純な訓練メール”

  • とある企業で実施した「社内報の改定についてのお知らせ(リンク付き)」というシンプルな訓練メールで、クリック率は27%
     
  • つまり、セキュリティ担当者が「引っかかるわけがない」と感じたメールでも、4人に1人は反応している
     
  • リンクをクリックした人へのアンケート:「普段の業務連絡と変わらないと思った」「内容に疑問を持たなかった」

百聞は一見にしかずではないですが、社員の数が多ければ多いほど、中には自分の常識では推し量れない方がいることを、私たちは常に意識する必要があります。

🧩 3. リテラシーギャップを埋める訓練設計の工夫

  • 難易度を一律にするのではなく、「段階的に」設計するのが理想。
    • 初級編:業務連絡風のメール(例:勤怠締切、会議招集、社内アンケート)
    • 中級編:業務に関連する外部サービスを装う(例:交通費精算サービス、クラウドストレージなど)
    • 上級編:情報漏洩ニュースに便乗した巧妙な模倣(例:大手企業を騙った緊急の注意喚起)
       
  • さらに「技術的なリアリズム」よりも「社員が実際に引っかかる内容」に重点を置くべき。

社員全員を対象に年に1~2回しか訓練を実施していないという企業の場合はなかなか難しいかもしれませんが、社員のリテラシーはやはり様々なので、それぞれのリテラシーレベルに合わせた訓練が実施できるとベターです。

年に2回以上訓練を実施されている企業であれば、年度初めから、回を追うごとにレベルを上げていくといったやり方もあるでしょう。

ある程度手間をかけられるのであれば、社員のリテラシーレベルごとにグループを分けて、各グループごとに難易度を変えて実施するというのも、方法としてはアリだと思います。

💬 4. 社内コミュニケーションとしての訓練メール

  • 訓練メールは脅かすためのものではなく、気づきを与えるためのもの
  • 難しすぎるメールは「自分には関係ない」と逆効果になりかねない。
  • セキュリティ担当者が訓練メールを作る際は、「自分でも引っかかりそうかどうか」ではなく、「自分の家族や非IT部門の同僚が引っかかりそうな内容」を想像して設計することが鍵。

標的型攻撃メール訓練は単に、訓練メールを送って、何人がリンクをクリックしてしまったか?を確認するだけのものではありません。

標的型攻撃メール訓練の実施という機会を通じて、会社として社員にどのようなメッセージを伝えるか?また、伝えたいか?

標的型攻撃メール訓練を社員とのコミュケーションツールの一つだと捉えると、社員に何を伝えたいかによって、訓練の内容をどのようなものにすべきかも変わってくるはずです。

訓練を通じて社員に何を伝えたいかによっては、クリック率だけに囚われないことです。

🎯まとめ

訓練メールの難易度は、セキュリティ担当者の満足感ではなく、社員全体の理解度を引き上げることを目的に設計すべきです。

自社の現状を正確に把握できていない場合は、自社の社員のリテラシーレベルがどの程度なのかを確認することも必要であり、場合によっては、本当にこんなメールに騙されてしまう人がいるのだろうか?と思うような内容で訓練を実施して、自社の実状を確認してみることも必要かもしれません。

自身と現場のリテラシーのギャップを自覚し、社員目線での内容を検討することで、本当に効果のあるセキュリティ教育が実現できます。

そのためには、時には自身の常識を疑ってかかることも必要です。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示