社員のリテラシーがバラバラ。そんな会社の訓練メールはどう作る?
全社員を対象に標的型攻撃メール訓練を実施する際、多くの担当者が直面する課題のひとつが「訓練メールの難易度設計」です。
- セキュリティ意識が高い社員からは「簡単すぎる」と言われ、
- 一方でリテラシーの低い社員からは「難しすぎてわからなかった」と言われる……。
このような声が飛び交ってしまうと、せっかくの訓練も不満ばかりが残ってしまいます。
しかし、実施できる機会が限られていると、全社員を対象に一斉に訓練を実施するしかないし…といった話もあります。
では、誰にとっても“ちょうどよい”難易度とはどのようなものか?
この記事では、「中くらいの難易度」とは何かを解説し、そのような訓練メールを設計する際のヒントをお伝えします。
🔍「中くらいの難易度」とはどんなレベル?
まず前提として、標的型攻撃メール訓練の目的は「見抜けなかった人に気づきを与えること」です。
そのため、訓練メールはリアルさと不自然さのバランスが重要になります。
✅ 難易度を考える際の項目:
| 項目 | 内容 |
|---|---|
| 件名 | 実際の業務に関連していそうなもの(例:「請求書に関するご確認のお願い」) |
| 送信者アドレス | 実在しそうに見えるが、よく見ると不自然(例:@nifty-billing.comなど) |
| 本文の文体 | 丁寧でビジネス風、しかしどこか違和感のある表現が混ざる(例:「至急、確認せよ」など) |
| リンク先 | 一見して安全そうに見えるが、ドメイン名が微妙に異なる(例:www.mitsubishi-co.jp → www.mitsubisi-co.com) |
このように、一見「それっぽい」けれども、注意深く見れば違和感に気づける内容が、難しくもなく、また、簡単でもないといった程度に設定されているものが「中くらいの難易度」の目安になります。
🧪 事例紹介:中程度の訓練メールサンプル
件名:【重要】支払遅延に関するご連絡
平素より大変お世話になっております。
○○株式会社 経理部の△△でございます。
貴社ご担当者様より、以下請求分の入金が確認できておりません。お手数ですが、至急ご確認いただけますと幸いです。
→ 支払確認書(PDF)はこちらからダウンロードください
https://mitsubisi-co.com/docs/invoice-5678
ご対応のほど、よろしくお願い申し上げます。
解説:
- 【疑問ポイント①】実在する会社名に似せたドメイン名
- 【疑問ポイント②】やや強めのトーン(「至急」や「確認できておりません」)
- 【疑問ポイント③】リンククリックを誘導する構成
このように「一部の人は違和感に気づき、別の人はクリックしてしまう」ようなバランスが、「中くらい」のレベルです。
🛠 中難度設計のヒント:どこで差をつけるか?
訓練メールを中程度に保つには、以下の6つの視点で考えると良いです。
① ビジネス文書っぽさを意識する
→ 書き出しは丁寧に。用語や敬語をうまく使って信頼感を演出。
② 「やや」不自然な点を仕込む
→ 差出人アドレスや、リンクのドメインなどに“微妙な違和感”を入れる。
③ 対象者の業務に関連づける
→ 営業職には「見積依頼」、管理職には「人事通知」など、職種別カスタマイズも有効です。
④ 気づきポイントの個数を調整する
→ 不審さに気づくポイントが多いほど難易度は下がることになります。
⑤ 気づきポイントの位置を考慮する
→ 目がつきやすい場所に気づきポイントがある程、難易度は下がります。
⑥ 手口に関する知識の普及度合いを考慮する
→ 怪しい日本語は誰でもわかるが、なりすましについては理解度が低いなど、自社の社員のリテラシーレベルを考え、5割くらいの社員が気づくと思われる手口を採用する。
🎯 終わりに:誰のための訓練か?
標的型攻撃メール訓練と言っても、具体的に誰を対象とするかで内容も変わります。
必ずしも、本物の攻撃メールとそっくりの巧妙なメールを使うことが訓練ではありません。
一般社員を対象とした訓練であれば、重要なのは「不審さを見逃してしまった人に気づきを与える訓練」を設計することです。
中程度の難易度メールは、「引っかかる人」と「気づける人」が混在することで、社内で自然なフィードバックの輪が広がります。
訓練を実施するのが初めてで、社員のリテラシーレベルがどの程度かわからないといった場合は、中程度の難易度の訓練メールで実施してみて、実施結果が想定通りか、そうでないかを確認するところから始めると良いと思います。
なお、中程度の難易度の訓練ばかり繰り返していると、”慣れ”が出てしまいますので、訓練を実施することが社内で定着している場合は、あえて難易度が高い訓練メールを用いて、社員の意識引き締めに繋げるということをしても良いかと思います、
全員が学べる訓練にするために、「ちょうどよい難しさ」を意識してみましょう。
