標的型攻撃メール訓練で見落とされがちな落とし穴
企業で行われる標的型攻撃メール訓練。
模擬メールを送って、社員がそれを開いてしまうか、リンクをクリックしてしまうかを確認するというものです。
訓練の結果を見て、多くの方がまず注目するのがこの数字です。
✔「誰がクリックしたか」
✖「誰が開かなかったか」
でも、ちょっと待ってください。
**「クリックしなかった人=セキュリティリテラシーが高い」**と、単純に判断してしまっていませんか?
✅ 実は「クリックしなかった」理由はいろいろある
たしかに、「怪しい」と気づいてメールを開かなかった人もいるでしょう。
それは素晴らしい判断です。でも、全員がそうだったとは限りません。
たとえばこんな理由もあるかもしれません:
- 📭 メールを開封していない(ただ忙しくて見落としただけ)
- 💤 たまたま休暇中だった
- 👀 プレビュー画面で読んでクリックしなかった
- 🤔 なんとなく怪しいけど、誰にも報告しなかった
- 🤝他の人からの連絡で訓練メールだと知っていた
クリックしていない=気づいた、というわけではないんです。
🧠 本当に大切なのは「どう判断し、どう行動したか」
セキュリティリテラシーが高い人って、どんな人だと思いますか?
それは、「ただ疑って何もしない人」ではなく、
「これは怪しいな」と思ったときに、正しく行動できる人ではないでしょうか。
たとえば──
- ⚠️ 不審メールを情報システム部門に報告した
- 💬 「こういうメールきてるよ」とチーム内で共有した
- ✋ 自分の判断理由を説明できた
こういった行動が取れる人こそ、実践的なセキュリティリテラシーがあるといえるのです。
📊 訓練の評価は「クリックした/しない」だけで決めない
訓練の効果を正しく把握するためには、クリック率以外の視点も大切です。
たとえば:
| 評価指標 | 見るポイント |
|---|---|
| ✅ 報告率 | 不審なメールを報告できたか |
| ✅ 理由の説明 | なぜ怪しいと判断できたか |
| ✅ チーム内共有 | 気づいたことを周囲に伝えられたか |
**「クリックしちゃったけど報告した人」**と
**「クリックしなかったけど何も行動しなかった人」**では、
前者のほうがリテラシーが高いという見方もできるんです。
🧩 「沈黙のリスク」にご注意を
セキュリティ上、**最も怖いのは“何も起きなかったように見える状態”**です。
誰もクリックしてない。
誰も報告もしてない。
何も起きてない…はず。
でも、本当は「誰も気づいていない」「気づいたけど誰にも言っていない」だけかもしれません。
これこそが**“沈黙のリスク”**です。
クリック率が業界平均よりも低かったから自社は大丈夫だ。と思ったりしていませんか?
そのクリック率は、実は**誰も訓練メールを読んでいなかったから**というのが実態だったのかもしれません。どうしてそのクリック率になったのか?その背景にまで着目することが、得られた結果を正しく判断する上では必要なことであると考えます。
💬 まとめ:大切なのは、「気づける力」と「行動できる文化」
標的型攻撃メール訓練は、「ふるいにかける」ためのものではありません。
社員一人ひとりに「もし本当に来たらどうする?」を考えてもらい、
正しく気づき、行動できる力と職場の風土を育てるための取り組みです。
クリックした人だけに着目するのではなく、**クリックしなかった人**に対してもどのようにアプローチし、リテラシーレベルを確認、向上させていくのか?
こうしたことを訓練実施計画に組み入れていくことも、担当者は考えるべきでしょう。
標的型攻撃メール対応訓練実施キットではこのような考えに立ち、訓練の実施とは別に、理解度確認テストを実施することができる機能も提供しています。
他社のサービスでもこのような機能を提供しているものがありますので、こうした機能を活用し、訓練と組み合わせて実施することが、「気づける力」と「行動できる文化」を育てていくことに繋がるのだと思います。
