当社が独自に実施した調査によると、イギリス、アメリカ、オランダ、フランス、デンマーク、スウェーデン、DACH(ドイツ・オーストリア・スイス)地域、そしてアフリカにおいて、仕事の一環としてノートパソコンを使用している個人のうち、90.1%が「フィッシング訓練は有益だ」と回答しました。
さらに、90.7%が「フィッシング訓練によって、実際のフィッシング攻撃に対する意識が高まった」と答えています。
このように、圧倒的多数がフィッシング訓練の有用性を認識しているにもかかわらず、なぜ一部では、従業員を騙すためのネガティブな手法と見なされるのでしょうか?
フィッシング訓練に対する誤解
フィッシング訓練とは、実際の攻撃を模したメールを送信し、従業員の行動や警戒心を確認し、必要に応じて教育を行うというものです。長年にわたり、サイバーセキュリティ対策として多くの企業で導入されてきました。
一方で、「従業員を騙して罰することが目的だ」といった批判的な声が存在するのも事実です。
このような批判的な声が生まれることには、いくつかの要因が考えられます。まず第一に、訓練内容が従業員の職務と関係のない「感情的にざわつかせる仕掛け」に偏っているケースです。たとえば「キャンペーンに当選」や「昇給のお知らせ」といった内容は、現実的な脅威の再現とは言えません。
次に、訓練後の対応が不十分であることも原因となります。失敗をしたと伝えられるだけで、改善方法についての明確な説明やサポートがなければ、訓練は従業員の意識向上にはつながりません。
しかし、これらがすべて正しくが行われていたとしても、従業員の声を聞かなければ、フィッシング訓練が本当にセキュリティ意識を高めているのか把握することができません。その答えを求めて、私たちは実際に訓練を受けている従業員に話を聞きました。
フィッシング訓練は効果があるのか?
調査の結果は明確に「フィッシング訓練がセキュリティ意識の向上に役立つ」ことを示しています。平均して、全地域の90%の回答者がフィッシング訓練の有効性を認めています。
中でもオランダでは、「訓練が自分にとって関連性がある」と答えた人が93%、「効果的である」と答えた人が94%にのぼり、最も高い支持を得ています。対照的に、フランスではそれぞれ87.5%、86.5%と、最も低い結果となりました。
ただ低めの結果を加味しても、フィッシング訓練は全体的に従業員から高い割合で効果的であると受け取られています。そして、従業員の声に加え、実際のデータもその効果を裏付けています。2024年の当社のデータによると、初期段階ではフィッシング訓練のクリック率が全世界で平均34.3%でした。フィッシング訓練含め、セキュリティトレーニングを12か月継続した後、クリック率はわずか4.6%まで下がり、トレーニング前と比べると平均で86%減少しました。
それでもなお、フィッシング訓練に対する否定的な声がなくならないのはなぜでしょうか。その答えは、調査結果の中に隠れているかもしれません。
訓練で失敗した後、フォローアップの教育を受けたかどうかについて調査したところ、29.05%の回答者が「受けていない、または覚えていない」と回答しました。この割合はアメリカで15%、フランスでは42.5%と大きく差が出ています。
この結果から見えるように、フォローアップの欠如が、訓練に対するネガティブな印象を生んでいる要因のひとつと考えられます。失敗した後に適切なサポートがなければ、従業員にとって訓練は単なる落とし穴であり、不満や不信感につながります。フランスのフォローアップ率の低さと、訓練に対する低い評価が比例しているように、地域によって評価が異なる理由は、フォローアップの質や量によるものと考えられます。
フィッシング訓練を最適化するための5つのアクション
従業員がフィッシング訓練を価値あるものとして認識している以上、企業側もその期待に応えるべく、適切に実施しなければなりません。訓練の目的は従業員を騙すことではなく、攻撃に備えさせることです。現実の脅威に対して正しく対応できる力を身につけさせる必要があります。
企業がフィッシング訓練をより効果的に活用するために実行すべき、5つの重要なポイントは次のとおりです。
以下は、組織がフィッシング訓練を最適化するための5つのポイントです。
-
現実味があり職務に関連する訓練にすること
実際に想定される攻撃をもとに、パーソナライズされた内容にし、単純に引っかけるためだけの不自然なシナリオは避けましょう。 -
教育することに焦点を当てること
失敗したとしても責めてはいけません。注意すべき点を分かりやすく伝えて、同じミスをしないように短く具体的にアドバイスしてあげましょう。また、必要であれば、適切なエスカレーションプロセスを導入しましょう。 -
タイムリーなフォローアップと追加トレーニング
フィッシングメールに引っかかった従業員には、間をおかずその印象が残っているうちに、すぐトレーニングやガイダンスを提供し、そして、定期的な訓練で記憶に定着させるようにしましょう。 -
透明性と公平性の確保
訓練メールはセキュリティプログラムの一環であることを事前に明示します。とにかく引っ掛けてやろう、といった無意味なやり方をしてはいけません。また、訓練メールの難易度も送信相手のレベルに合わせて調節してあげることも重要です。 -
セキュリティ意識に基づく行動を褒めてあげましょう
フィッシングを適切に報告した従業員を、朝会、役員会議などで、褒めて、セキュリティに対する積極性を高く評価し、良い行動を促しましょう。
意識を行動へとつなげるために
組織にとって、従業員は最も重要なセキュリティ防衛層です。従業員のセキュリティ意識を高めることは、高い意識とそれに基づく適切な行動を根付かせ、セキュリティを重視する組織全体のムード、気風を築き上げます。ソーシャルエンジニアリングをはじめとする脅威に対するリスクだけでなく、多くの好ましくない行為の軽減につながります。
そのためには、訓練を「罰」ではなく「教育」として位置づけ、適切な内容、適切なフィードバック、そして継続的なサポート体制を組み合わせることが必要です。
フィッシング訓練は、正しく実施されれば、従業員を試すだけでなく、第一の防衛層として備えさせるものとなります。
原典:Stu Sjouwerman著 2025年4月23日発信 https://blog.knowbe4.com/breaking-the-stigma-90-of-employees-agree-that-phishing-simulations-improve-their-security-awareness