フィッシング訓練の重要性
サイバー攻撃の90%以上がメールを起点としています。技術的なメールフィルタリングだけでは防ぎきれないため、最後の防壁である「人」の対応力を高めることが不可欠です。定期的なフィッシング訓練により、従業員が不審なメールを見分け、適切に報告する習慣を身につけられます。
訓練の計画
| 項目 | 内容 |
|---|---|
| 目的 | 従業員のフィッシングメール識別能力の向上、報告率の改善 |
| 対象者 | 全従業員(経営層含む) |
| 頻度 | 四半期に1回(年4回)が推奨 |
| KPI | 開封率、リンククリック率、情報入力率、報告率 |
| 目標 | クリック率5%以下、報告率70%以上 |
訓練メールの設計
| 難易度 | テンプレート例 | 使い所 |
|---|---|---|
| 初級 | 「アカウントが停止されます」(明らかに不審なURL) | 初回訓練、新入社員 |
| 中級 | 「請求書を添付しました」(取引先を装うメール) | 2回目以降の訓練 |
| 上級 | 「社長からの緊急依頼」(BEC風、社内ドメインを模倣) | 訓練実績のある組織 |
- 送信元アドレスは似せるが微妙に異なるドメインを使用
- 社内の実際のイベント(年末調整、人事評価等)に便乗したテーマが効果的
- 訓練であることを悟られない自然な文面にする
ツール選定
| ツール | 特徴 | 価格帯 |
|---|---|---|
| Microsoft Attack Simulation | M365 E5/Defender for O365 P2に含まれる標準機能 | 追加費用なし(ライセンスに依存) |
| KnowBe4 | 世界最大手、テンプレート豊富、教育コンテンツ充実 | 月額数百円〜/人 |
| Proofpoint Security Awareness | 高度な分析、カスタマイズ性 | 要見積もり |
| SELPHISH(セルフィッシュ) | 日本製、日本語テンプレート充実 | 要見積もり |
実施手順
- 経営層の承認を取得(訓練の目的と方法を説明)
- 訓練メールの作成(難易度を設定、ランディングページを準備)
- 送信(業務時間内に実施、全員同時 or 部署別に段階的送信)
- 結果収集(開封率、クリック率、入力率、報告率を集計)
- フィードバック(クリックした人への即時教育、全社への結果共有)
- 改善(次回訓練の難易度調整、教育プログラムの強化)
⚠️ 注意点
訓練は「犯人探し」が目的ではないことを全社に周知してください。クリックした従業員を非難するのではなく、学習の機会として捉えることが重要です。心理的安全性を確保しないと、報告文化が育ちません。
効果測定
| 指標 | 初回目安 | 目標値 |
|---|---|---|
| メール開封率 | 50〜70% | 参考値のみ(開封だけでは問題なし) |
| リンククリック率 | 20〜30% | 5%以下 |
| 情報入力率 | 10〜15% | 1%以下 |
| 報告率 | 5〜10% | 70%以上 |
BTNコンサルティングの支援
フィッシング訓練の企画・実施、セキュリティ教育プログラムの策定、訓練結果の分析レポート作成を支援します。
💡 あわせて読みたい
まとめ
フィッシング訓練は四半期に1回、「計画→メール作成→実施→フィードバック→改善」のサイクルで継続的に実施します。クリック率5%以下・報告率70%以上を目標に、従業員の「気づく力」と「報告する文化」を育てましょう。
高度なフィッシング手口への対策
| 手口 | 特徴 | 見分け方 |
|---|---|---|
| AiTM(Adversary-in-the-Middle) | MFAをバイパスするリアルタイム中間者攻撃 | URLの確認、FIDO2セキュリティキーの使用 |
| ディープフェイク音声 | 経営者の声を模倣した電話でなりすまし | コールバック確認、二重承認プロセス |
| OAuth フィッシング | 不正アプリへのアクセス許可を求める | 不審なアプリ権限要求への警戒 |