標的型攻撃メール訓練を担当していると、必ずと言ってよいほどぶつかる疑問があります。
「クリック率って、どれくらいなら“良い”と言えるんだろう?」
「報告率って、何%を目標にすればいいんだろう?」
多くの担当者が同じ悩みを抱えており、訓練実施後に経営層へ報告する際は、ほぼ確実に「で、この数値は良いの?悪いの?」と尋ねられます。
そのたびに「比較対象がほしい…」「基準がわからない…」と感じる方も多いのではないでしょうか。
今回は、訓練担当者が 現場で使えるKPI設定の考え方 と、何をベンチマークにすべきか を整理してみたいと思います。
❓クリック率10%って良いの?悪いの?
訓練を行うと、真っ先に注目される指標が「リンククリック率」です。
しかし、クリック率が10%だから良い、20%だから悪い、といった 単純な評価は実はできません。
なぜなら、
「クリック率は、訓練メールの難易度によって大きく変わる」
からです。
たとえば…
- 明らかに怪しいURL(意味不明な文字列、見慣れないドメインなど)
- 一見して怪しくない短縮URL
- 正規サービスにそっくりな偽装ドメイン
これらでは、受信者が“不審だ”と気づく難易度がまるで違います。
難易度が高ければクリック率は上がり、
難易度が低ければクリック率は下がる。
そのため、同じ「10%」という数値でも、
- 低難易度で10% → 危険サイン
- 高難易度で10% → 想定内
と、意味合いが全く変わってきます。
つまり、“何%だから良い/悪い”と数字だけで判断するのは危険なのです。
📌ベンチマークの基準をつくる重要性
クリック率の良し悪しを判断するためには、まず 「同じ土俵で比べる基準」 が必要です。
次のようなケースを想像してみてください。
- 1回目:高度に偽装された本物そっくりの訓練メール → クリック率20%
- 2回目:明らかに怪しい文章の訓練メール → クリック率3%
この結果だけを見ると
「20% → 3%に改善!効果バッチリ!」
と思ってしまうかもしれません。
ですが、多くの担当者が直感で気づいているように、
「いや、それは訓練メールの難易度が違うだけでは?」
という話です。
ここが、ベンチマークの基準が必要な理由です。
累計データを積み上げるためにも、「どの要素を不審ポイントとして設置するか」 を固定することが欠かせません。
こうした点を無視して、難易度が全く異なる訓練の実施結果を寄せ集めて「業界平均のクリック率は何%です」と言ったところで意味がないことは言うまでも無いでしょう。
✅具体的にどんなベンチマークポイントがある?
標的型攻撃メール訓練の目的の一つは
「不審なメールやリンクを自分で見抜けるようになること」
です。
そのため、訓練メールには、受信者が気づくべき“不審ポイント”を意図的に含める必要があります。
代表的な例としては:
- 表示URLと実際のリンク先URLが異なる
- 正規ドメインに似せた偽装ドメインが使われている
- URLに「@」が含まれているなど不自然な書式
- Google翻訳経由URLのような不自然な挙動
- 差出人アドレスが複数記載されている
- 差出人が“自分自身”になっている
- 差出人情報の記載がない
- 文章の言い回しやフォントが不自然
- 見慣れない添付ファイルがある
- 実行形式ファイルが添付されている
こうした要素は、すべて“不審なメールの典型例”です。
訓練メールにこれらのポイントを組み込み、
どのポイントに気づけなかったのか
を評価することで、クリック率が意味を持ち始めます。
📣極論を言えば、クリック率は0%が理想。でも…
攻撃メールに引っかかると被害が出るため、理想を言えば クリック率は0% が目標です。
しかし、現実的には
0%はほぼ不可能 です。
人間は、どれだけ知識を持っていても、
- 忙しい
- 疲れている
- つい手が滑った
- たまたま注意が散漫だった
といった理由でうっかりクリックしてしまうことがあります。
AIを使ったメールフィルタリングでさえ完璧ではありません。
人間が100%ミスしないという方が不自然です。
セキュリティ対策システムでさえ完璧ではないのですから、人間が見分けられないこともあるのは致し方ないところですが、不審だと見分けるためのポイントを抑えて、しっかり確認する習慣が社員全員に身についていれば、クリック率はかなり低い所まで下げることができるはずです。
これを何%を目標に設定するのがよいのか?ということにはなりますが、
一般的なKPIの目安としては「クリック率3%以下」
を安定的に維持できている状態が、目標とすべき一つの水準になると言えるのではないかと考えます。
【参考リンク】
標的型攻撃メールが本当に届いたとき、SOCが守りきれるクリック率とは?
🤔クリック率だけでは不十分。行動変容の指標も見る
訓練で最も注目されるのはクリック率ですが、
本当に見たいのは 「社員がどう行動したか」 です。
例えば…
- 不審なメールに気づいて報告行動をとれたか?
- 「怪しいかもしれない」という意識が高まったか?
- 訓練後の解説(事後教育)がどれだけ読まれたか?
- アンケートやテストでの理解度や関心の変化はどうか?
これらを測定すると、
訓練が社員の行動変容につながったかどうか
を数値で把握できます。
セキュリティリテラシーが高まれば、結果的にクリック率の低減にもつながります。
ですから、クリック率だけをKPIとして設定するのではなく、
クリック率低減に繋がる指標も一緒にKPIとして設定することで、
真に目指すべき目標が見えてくるはずです。
⚖️目標達成に向けた「仕組み」そのものもKPIにする
行動変容を促すためには、
ただ訓練メールを送るだけでは足りません。
- 月次のセキュリティニュース配信
- 事後教育コンテンツの提供
- 社内向け注意喚起
- 部署ごとのミニ研修
など、継続的な仕組みをどう運用しているかも重要です。
たとえば、
- セキュリティに関する情報(周知等)の閲覧率
- 動画教材の視聴完了率
- 報告行動の平均時間
などもKPIに加えることで、
「訓練 → 教育 → 定着」までを一つのサイクルとして評価できる ようになります。
すると、自社がどこに課題を抱えているか、
改善すべきポイントがどこなのかも自然と見えてきます。
🎯まとめ:クリック率だけを追わないKPI設計へ
まとめると、標的型攻撃メール訓練のKPI設計では、
- 難易度を踏まえたクリック率評価を行うこと
- 不審ポイントをベンチマークし、比較条件を揃えること
- 行動変容や意識変化も指標に含めること
- 情報発信や教育施策といった“仕組み”もKPI化すること
この4つが非常に重要になります。
訓練担当者として、
「数字だけでは判断できない複雑さ」を日々痛感している方ほど、
今回のKPI設計はしっくりくるものがあるはずです。
社員が“気づける力”を身につけ、
会社全体のセキュリティレベルが底上げされる——
そのためのKPIは、クリック率という一つの数字だけでは測れません。
ぜひ、自社に合った“本当に目指すべきKPI”を見つけるきっかりにしていただければと思います。
