実施結果の見方と平均値からわかること
「今回の訓練、開封率が20%だったけど…これは高いの?低いの?」
「どの程度クリックされるのが普通?そもそも開封率ってどう捉えたらいいの?」
標的型攻撃メール訓練を実施したあと、多くの担当者がぶつかるのが**「開封率の見方がわからない」問題**です。
標的型攻撃メール訓練を実施したあと、注目すべき指標のひとつは開封率です。
訓練メールに記載されていたリンクをクリックした人の割合は、**組織のリスクの高さを示す“警報ランプ”**ともいえます。
この記事では、開封率の意味や平均値、どう活かすべきかを解説します。
✅ 開封率(クリック率)とは?基本の意味を確認しよう
標的型攻撃メール訓練においてよく言われる「開封率」とは、訓練メールを開封(プレビューまたは本文表示)した人の割合ではなく、訓練メールに記載されていたURLリンクをクリックしたり、添付ファイルを開いた人の割合です。
開封とあるので、メールを開封(プレビューまたは本文表示)した人と思ってしまいがちですが、標的型攻撃メール訓練が普及し始めた当初、リンクをクリックした人や添付ファイルを開いた人を総称して”開封者“と呼称したため、訓練メールに記載されていたURLリンクをクリックしたり、添付ファイルを開いた人の割合を「開封率」と呼ぶようになりました。
そのような意味では、クリック率と呼称した方が良いのかもしれませんが、添付ファイルを開いた人の割合をクリック率と呼ぶのは違和感があるため、自然と「開封率」と呼ぶようになったという経緯があります。訓練に慣れていないとちょっとわかりにくいですね。
ちなみに、訓練メールを開封(プレビューまたは本文表示)した人の割合については、昔は取得することができましたが、今はメールソフトのセキュリティ対策が進んで取得することが難しくなっているため、実質的に訓練実施結果として使えるだけのデータを得ることはできなくなっています。
計算式:
開封率(%)= URLリンクをクリックした人の数(※1) ÷ 配信対象人数 × 100
※1の部分については、添付ファイルを開封した人の数や、マクロを実行した人の数、フィッシングページ上でボタンを押した人の数など、実施した訓練の内容によって変わります。
たとえば、100人に送って20人が訓練メール内に記述されたURLリンクをクリックした場合の開封率は20%となります。
📌 ここで重要なのは:
標的型攻撃メール訓練における 開封した は メール見た ではない。
⇒ 開封率は訓練メールに騙されて”リンクをクリックした”、”添付ファイルを開いてしまった“かどうかの指標を表します。
🧠 開封率(クリック率)-が高くなる理由とは?
開封率が高くなるには、いくつかの要因があります:
✅ メールの内容がリアルすぎた
→ 「請求書」「アカウント認証」「人事通知」など、業務メールに似た内容だと、ついクリックしてしまうことも。他のメールと勘違いしてつい、開いてしまったというのも、このようなケースの一例です。
✅ よく知っている人や上司からのメール
→ 取引先など普段からよく知っている人からのメールや、上司や社長など、優先度が高い人からのメールは反射的に開いてしまう傾向があります。
✅ セキュリティ教育が浸透していない
→ 定期的な啓発がなければ、怪しいメールに気づく力が育たないため、クリック率が高くなりがちです。セキュリティ教育にあまり取り組んでいない組織が訓練を実施すると開封率が高い結果となりがちですが、その理由は主にこうしたことが原因です。
✅ モバイル端末で確認していた
→ スマホだとリンク先のURLが見えづらく、直感で操作しがちになる傾向があります。セキュリティのプロでさえ、うっかりアクセスしてしまった事例もあるほどです。
✅ タイミングが悪かった(繁忙期など)
→ 忙しいとメールを処理することが優先となって、あまり中身を確かめずにクリックしてしまうという行動が増えます。長期休暇明けで未読のメールが溜まっている時などは起こりがちです。
✅ 逆に、セキュリティ意識が高く“中身を確認した”可能性も
→ 「怪しいけど、開けて確かめた」=意識の高い行動とも言えますが、中途半端な知識しか持たない人がこのような行動に出ることは、却って被害を発生させてしまう危険性があり、会社にとってはリスクと言えます。
📊 平均的な開封率(クリック率)はどのくらい?
標的型攻撃メール訓練における開封率の目安は以下の通りです:
| 業種・規模 | 平均クリック率の目安 |
|---|---|
| 全体平均(企業全般) | 約10〜20% |
| 情報セキュリティ教育を定期実施している企業 | 約5〜10% |
| 訓練未実施・教育が不十分な場合 | 30%以上も珍しくない |
📌 20%以上のクリック率は、改善の余地ありと判断されやすい水準です。
🔍 開封率(クリック率)を分析する際の視点
開封率は「個人の失敗」ではなく、「組織の対策状況のバロメーター」として見ることが大切です。
チェックすべきポイント:
| 観点 | チェック内容 |
|---|---|
| 件名・本文の内容 | 業務メールと似ていたか?リアリティがあったか? |
| 部門別のクリック率 | 特定部門だけ極端に高い or 低い傾向は? |
| 過去との比較 | 前回より改善しているか? |
| 通報との関係 | クリックだけでなく、通報もされていたか? |
📊 部門別・階層別・時系列など、切り口を変えると傾向が見えることもあるので、開封率は“切り口次第で意味が変わる”指標です。
🛡️ 開封率(クリック率)の改善に向けたアクション例
- 訓練後のフォロー研修を実施(なぜ引っかかったのかの振り返り)
- よくあるフィッシングパターンの共有(事例集やチェックリスト)
- 「クリックしても責められない」雰囲気作り(気づきを得るための訓練であることを強調)
- 通報文化の育成(引っかからなかった人の行動を評価する)
📝 まとめ:開封率(クリック率)は“リスク可視化の指標”
- クリック率が高いほど、本番の攻撃で被害につながるリスクが高い
- 10〜20%がひとつの目安。改善トレンドにあるかどうかが重要
- 部門別・回数別で見ると、弱点が見えてくる
- 高かった=失敗ではない。次の対策に活かす材料です
「数字はあくまで“気づき”の入り口」
開封率の結果を見て、同業他社よりも良かった、悪かったと一喜一憂するのではなく、次の対策にどう活かすかが訓練成功のカギです。
他社と自社では実施している訓練の内容が異なりますし、そもそも会社の文化や業務内容も異なります。参考にはなるかもしれませんが、他社よりも自社の方が結果が良かったからといって、自社にはセキュリティリスクがないなどと言えるはずもありません。
自社の弱点はどこにあり、優先順位として何から取り組むべきなのか?を考えるための材料として訓練実施結果を利用すること。
そのためにどのような訓練をすることが自社にとって望ましいのか?を考えることこそ、必要なことです。
