標的型攻撃メールが本当に届いたとき、SOCが守りきれるクリック率とは?

標的型攻撃メール訓練を担当していると、必ず気になるのが 「実際の攻撃メールが来たら、うちの会社は耐えられるのか?」 という点だと思います。

訓練の結果としてクリック率をチェックすることはよくありますが、
本当に知りたいのは “その数値で現実に守れるのかどうか” ではないでしょうか。

  • クリック率はどこまで下げれば被害拡大を防げるのか?
  • SOC(セキュリティオペレーションセンター)は、何人なら何台まで対応できるのか?
  • 結局、どこを目標ラインにすればいいのか?

この記事では、こういった現場担当者が抱えるリアルな疑問について考えてみます。

🔍結論:企業規模に関係なく、守り切れるラインは「1〜3%」

先に結論から述べると、
実際の攻撃メールに対して 被害拡大を抑えられるクリック率の上限は 1〜3% が現実的なラインではないかと考えます。

理由は簡単で、
SOCの人員にも、1日に対応できる端末数の限界があるから です。

もちろん、企業規模やSOCの体制によって多少前後しますが、現場の感覚としては以下が妥当です。

  • SOCなし〜小規模企業(1〜3名体制) → 1%以下が必須ライン
  • 中堅企業(5〜20名SOC) → 1〜3%以下であれば抑え込める
  • 大規模企業(30名以上SOC) → 3%以下が現実的な目標

これを超えると、対応が追いつかなくなり、
内部展開(横展開)を許してしまう危険性が急上昇します。

🛡️SOCが追いつかなくなる“現場のリアル”

クリック率が少し高くなっただけで SOC に何が起きるのか──
担当者として知っておくべきポイントを整理すると、次のようになるものと想定されます。

▼1. クリック者の端末調査には「1台30〜90分」かかる

クリックした人が10人いれば、1台30分としても30分×10台=300分で5時間。
そのように考えると、少なくとも5〜15時間分の作業 が発生することになります。

  • EDR で端末を隔離
  • プロセス調査
  • 資格情報流出の確認
  • パスワードリセット
  • OAuth許可アプリの取り消し
  • 内部展開の兆候チェック

実際には複数名で分担するとしても、それでも時間はかかることになります。

▼2. 攻撃者は“30分〜数時間以内”に次の行動を開始する

たとえば:

  • 内部メールで二次攻撃
  • Teams / Slack で社内ユーザーを騙す
  • SharePointに偽ログインページ生成
  • サーバーや端末をスキャン
  • 資格情報をさらに収集

つまり、初動で遅れれば遅れるほど被害が拡大 します。
攻撃が全て自動化されている状況であれば、30分どころか、ものの数分でということもあり得ます。

▼3. 人員が足りないほど「横展開を止められない」

たとえば…

従業員5,000名 × クリック率 5% = 250人がクリック

SOC 10名体制でも、
間違いなく初動対応が追いつきません。

クリック率が高いほど、
「気づいた時には攻撃者が社内に足場を築いていた」
という最悪の展開になります。

✅企業規模別:現実的に“守りきれるクリック率”の目安

企業規模によって、SOCにかけられる予算は異なってくることを考えると、現実的には以下のような感じになるのではないでしょうか。

▼小規模(SOCなし or 1〜3名体制)

  • 対応可能な端末数:5〜20台程度
  • 目標クリック率:1%以下

例:従業員500名 → 1% = 5名
→ なんとか抑え込めるライン

▼中堅企業(SOC 5〜20名)

  • 対応可能端末数:20〜80台
  • 目標クリック率:1〜3%以下

例:従業員5,000名 → 3% = 150台
→ ぎりぎり人力で抑え込める限界ライン

▼大規模企業(SOC30名以上)

  • 対応可能端末:300台程度
  • 目標クリック率:3%以下

例:10万名企業 → 3% = 3,000台
→ 大規模SOCならなんとか処理できるが、これでも余裕はない

❓なぜ、“3%”という数値をKPIに設定するのか?

訓練実施担当者の方であれば、
「クリック率○%以下をKPIにしましょう」
という話を聞いたことがあるかもしれません。

この数値を3%という数値にするのは、単なる慣習ではなく、前述の通り、
“SOCが何とか対応できる限界” がちょうどこのあたり と考えられるからです。

3%を切ると…

  • 初動対応が間に合う
  • 横展開を抑え込める
  • 対応が混乱しない
  • 経営判断も迅速にできる

など、運用上のメリットが大きくなります。

✅訓練でこのラインを“日常的にキープできるか”が勝負

実際の攻撃メールが届くのは突然です。

その瞬間、
社員の注意力や知識レベルが “普段の訓練レベル” で決まる と言っても過言ではありません。

だからこそ、訓練で

  • 1〜3%のクリック率
  • 即時報告の習慣
  • 不審ポイントへの気づき
    を定着させておくことが、現実的な防衛につながります。

🎯まとめ:現実的な防衛ラインは「1〜3%」

  • 小規模企業 → 1%以下
  • 中堅〜大企業 → 1〜3%以下

このラインを超えると、SOCが追いつかず、
攻撃者に“横展開”のチャンスを与える 可能性が大きくなることが想定されます。

訓練はクリック率を低くするためだけではなく、
“現実の攻撃に耐えられる組織” を事前に作るための活動です。

だからこそ、担当者としては、
「うちの会社が本当に守り切れるラインはどこか?」
を意識しながら訓練を設計することが非常に重要になると考えます。

万一の際、同時に感染が疑われるパソコンの台数は何台までなら、
御社が対応できる範囲に収まるでしょうか?

そこからクリック率のKPIを考ることで、現実的な数値が見えてくるものと考えます。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示