.jpg?width=466&height=262&name=Evangelists-Martin%20Kraemer%20(1).jpg)
サイバー攻撃が常態化している今日、技術的な防御は欠かせません。しかし、攻撃者にとって最も侵害しやすいのは、多くの場合「人」です。
フランスの従業員がサイバー攻撃にどの程度耐性を持っているかを把握するため、セキュリティ意識向上トレーニング(SAT)とフィッシング訓練が防御力に与える影響を検証しました。詳細は、最新レポート「Go Phish: How Susceptible Are French Employees To Malicious Attacks?」(仏)をご覧ください。
自信がない従業員が多い
本レポートでは、フランスの従業員において、自己評価と実際の備えの間に大きなギャップがあることが明らかになりました。「フィッシングの見極めに自信がある」と答えた従業員の世界平均は86%ですが、フランスでは67.7%にとどまっています。調査対象地域の中で最下位であり、セキュリティ意識の一層の向上が急務であることを示しています。
さらに、フランスの従業員が自信を持って識別できると感じる攻撃手段が一つもないことが明らかになりました。ディープフェイク動画の識別に苦労するであろうと答えた人は約半数、識別することに自信があると答えた人は半数強でした。つまりフランスの回答者の二人に一人はディープフェイクかどうか判別できないかもしれないと自身のない回答をしているのです。この自信の欠如は、フィッシングメール(67.7%)、スミッシング(69.9%)、ソーシャルエンジニアリング(59.6%)、SNS上のフィッシング(66.7%)、ビッシング(68.4%)にも広がっています。
クリック率が示す現実
フランスの従業員のほぼ半数(47.7%)が、サイバー攻撃の被害に遭ったと回答しています。中でもフィッシングメールが最も多く、19.3%が被害を報告しました。
このデータは業界全体の傾向とも一致します。2025年版「Phishing By Industry Benchmarking Report」では、SAT未実施の欧州組織におけるPhish-prone Percentage(PPP)が32.5%と示されました。つまり、欧州全体で従業員の約3分の1がフィッシングに脆弱であるということです。
トレーニングはリスク低減の鍵
朗報もあります。パーソナライズされ、関連性が高く、能動的なSATとフィッシング訓練を高頻度で実施するヒューマンリスクマネジメントにより、クリック率は大幅に低下します。現状、フランスでは33.3%がSATを受けていませんが、効果的なトレーニングのインパクトは明白です。
欧州の組織が継続的なSATとフィッシング訓練を導入すると、初期の32.5%というクリック率は大きく低下します。わずか3カ月で20.7%に下がり、1年後には5%まで低下し、フィッシングリスクは85%も削減されます。継続による改善効果の大きさが示されています。
さらに、フランスの従業員自身もシミュレーションの価値を認めています。受講者のうち87.5%が「業務に関連している」と回答し、86.5%が「実際のフィッシング脅威に対するセキュリティ意識が高まる」としています。
より強靭なワークフォースを築くために
脅威に対応できる組織を実現するため、トレーニング計画では次の5つのベストプラクティスを検討してください。
- パーソナライズを徹底する:役割や想定される脅威に合わせて内容を調整
- 実際の脅威を活用する:実在の攻撃メールを無害化して教材化し、関連性を確保
- 継続的なコーチングを重視する:継続学習でポリシーを定着させ、行動変容を促す
- 文化的要因を考慮する:地域や文化に応じて受講の関わり方が異なる点を踏まえる
- 望ましくない行動を断ち切る:リスクの発生時点で介入できる技術を導入し、より安全な意思決定へ導く
人を中心に据え、堅牢な技術的防御と、パーソナライズされ関連性が高く適応的なSATおよび継続的な実践を組み合わせることで、組織は最大の攻撃面となりがちな従業員を、最大の強みへと変えることができます。
原典:Martin Kraemer著 2025年8月6日発信 https://blog.knowbe4.com/beyond-traditional-defenses-why-french-cyber-resilience-needs-to-improve