標的型攻撃メール訓練を実施する企業は増えてきましたが、効果的に実施できている企業はそう多くないかもしれません。
本記事では、標的型攻撃メール訓練を適切に実施し、従業員のセキュリティリテラシーや知識を効果的に高めるために何を目標にすればいいのか、「開封率」を切り口に解説します。
また、標的型攻撃メール訓練を抜けもれなく実施したい方へ、標的型攻撃メール訓練のガイドブック&ToDoリストを無料で配布しています。ご活用ください。
標的型攻撃メール訓練についておさらい
まずは標的型攻撃メール訓練についてかんたんに説明します。
標的型攻撃メールとは
標的型攻撃メールとは、特定の企業・組織を標的にした標的型攻撃の中で、メールを手法とするものです。組織の重要情報を盗みだす、不正に金銭を得るなどを目的としています。
標的の組織に向けて巧妙な偽メールが送信されるため、見破るのが困難です。
標的型攻撃メール訓練とは
そうした標的型攻撃メールへの対策に重要になるのが、標的型攻撃メール訓練です。
攻撃メールを模した訓練メールを従業員に送信し、開封やリンククリックをしないかどうか、適切な対応や報告が実施できているかどうかをチェックします。
よりくわしくは「セキュリオ」標的型攻撃メール訓練ご紹介ページで解説しています。ご参照ください。
標的型攻撃メール訓練における開封率の位置づけ
メール訓練で存在する指標
標的型攻撃メール訓練で数値として見る指標としては、下記のものが代表的です。
- 開封率
- 訓練メールを受信した従業員のうち、訓練メールを開封した従業員の割合です。
- クリック率
- 訓練メールを受信した従業員のうち、訓練メールに記載のリンクをクリックした従業員の割合です。
- フォーム入力率
- 訓練メールを受信した従業員のうち、訓練メール記載のリンク先でフォームに ID・パスワードを入力 した従業員の割合です。
- 報告率
- 訓練メールを受信した従業員のうち、社内窓口に不審なメールとして報告した従業員の割合です。
開封率・クリック率・フォーム入力率は、原則、低い方が望ましいですが、報告率は、原則、高い方が望ましいです。
開封率の目安
前提として、標的型攻撃メール訓練の開封率に「この数値以下であれば安心」というものはありません。従業員の誰か一人でも実際の攻撃メールに引っかかってしまえば、不正アクセスや情報漏洩につながってしまうためです。従って理想を言えば、開封率は0%が望ましいです。
そのうえで、参考になる数字をご紹介します。
東京商工会議所が2022年に中小企業・小規模事業者を対象として実施した標的型攻撃メール訓練では、対象人数811名のうち、12.2%にあたる99名が訓練メールを開封したそうです。ただ、中でも「運輸業」では0.0%、「不動産業」では20.0%など業種によるばらつきも見られました。
また、こんな数字もあります。
カナダのTerranova Securityが98の国を対象に実施したフィッシングシミュレーションのレポート「Gone Phishing Tournament Global Benchmark Report 2020」によると、セキュリティアウェアネス及びフィッシング関連の訓練をすでに実施している企業であっても、フィッシングシミュレーションにおいて、受信者の19.8%がメールに記載のリンクをクリックし、そのうち13.4%がリンク先で認証情報を入力した、ということです。
リンククリックでこれだけの数値が出ているということは、開封率はもっと高いということが考えられます。
訓練で効果を出すために見るべき指標
では、標的型攻撃メール訓練ではどんな指標を見て、改善していけばよいのでしょうか。
効果として見るべきは従業員の「意識」
標的型攻撃メール訓練はそもそも何のための施策なのかを考えてみましょう。
近年、標的型攻撃メールは脅威を増し、Emotetの断続的な隆盛も相まって対策が必須になっています。とくにEmotet等一部のマルウェアはウイルス検知ソフトによる検知を潜り抜けてしまうため、攻撃メールを受信した従業員がしっかりメールを見破り、適切な対策を取ることが必要です。
そのため、標的型攻撃メール訓練の目的は下記です。
- 従業員が標的型攻撃メール訓練を見破る能力を養う
- 従業員の標的型攻撃メール訓練対策への意識を高める
- 従業員が標的型攻撃メール受信時の対応・報告を実施できるようにする
従って、標的型攻撃メール訓練で成果目標とすべきは、従業員の「意識」になります。見破る能力ももちろん重要ですが、それは事前・事後の教育で養う方が効率的です。
一般的には「開封率」より「報告率」
そこで、「開封率」や「クリック率」よりも「報告率」を指標とすることをおすすめします。
従業員がメールを「開封」したかどうかを指標にしてしまうと、どうしても、攻撃メールではなく訓練メールのクセを見破って開封しなかった従業員や、たまたまメールに気づかず開封しなかった従業員、訓練だとわかったうえで冷やかしで開封した従業員などが発生してしまいます。
一方で、「報告」したかどうかを指標にすると、訓練慣れによって不正に数値が上下することもありませんし、訓練メールを報告するという対応フローを適切にこなしたというそれ自体従業員の意識の高さの証明になります。
メール訓練の報告率については「標的型攻撃メール訓練の成果は「報告率」!実施結果を正しくレポートするために」でも詳しく解説しています。あわせてご覧ください。
訓練結果の活かし方
当然ですが、標的型攻撃メール訓練を実施してレポーティングをしても、それを活かしきれなければ意味がありません。
訓練結果の活かし方としては、下記が考えられます。
分析と改善
訓練結果を、開封率や報告率、その他数値をもとに分析、どの部署が弱いのか、どういったカテゴリの従業員が開封しがちなのか、どんな文面に従業員は引っかかりやすいのか、などを把握しましょう。
また、従業員の対応が不十分であった場合は、対応プロセスの再検討や再周知をしましょう。
従業員へのフィードバック
訓練結果を従業員にも伝え、セキュリティ意識を高めましょう。数値の共有の仕方、メッセージによって従業員のセキュリティに対する士気を高めることも、危機感をあおることも重要です。
また、訓練メールを開封してしまった従業員に対しては再教育の実施も必須です。
経営陣への報告
結果を経営陣に報告し、セキュリティへの投資を促進します。
セキュリオの標的型攻撃メール訓練なら!
LRMのご提供するセキュリティ教育クラウド「セキュリオ」の標的型攻撃メール訓練なら、豊富な手法・文面・ドメインのテンプレートから選び放題、もちろんカスタマイズやオリジナル文面作成も可能です。
また、eラーニング機能や毎週配信のミニテストと組み合わせて標的型攻撃メール訓練の効果を高めつつ、継続的に維持することができます。
また、不審なメールを報告する機能も付いていますので、報告率向上も期待できます。
まずは無料ではじめてみましょう。
まとめ
標的型攻撃メール訓練の開封率について解説しました。
- 前例では、10%~20%ほどの開封率が見られる
- 理想論を言えば開封率では0%を目指すべき
- 開封率も目安に見つつ、報告率の向上を目指しましょう
しっかり適切なレポーティングで、成果のある標的型攻撃メール訓練にしましょう。
