現状の情報セキュリティに関するリテラシーや教育方針にあわせて、標的型攻撃メール訓練の目的を定めて実施することを推奨します。
標的型攻撃メール訓練の目的としては、下記が挙げられます。
- 従業員が標的型攻撃メール訓練を見破る能力を養う
- 従業員の標的型攻撃メール訓練対策への意識を高める
- 従業員が標的型攻撃メール受信時の対応・報告を実施できるようにする
なお、標的型攻撃メール訓練施策での方向性や意識するポイントとしては、大きく分けて以下の3つに分類されます。
- 避難訓練のように意識づけと啓蒙を目的とする・・・定期的に行うことで意識づけを強化
- 訓練に慣れてもらい、不審メールを開かないようにトレーニングする・・・定期的に行われる訓練の開封率を定点観測
- 不審メールに対する報告率を向上させるために訓練を実施する・・・定期的に行われる訓練の報告率を定点観測
参考までに、標的型攻撃メール訓練での、開封率(訓練に引っかかる割合)は、セキュリオ全体の訓練状況の統計では、おおむね8%~14%が平均的です。
また、東京商工会議所によるレポートにて、中小企業・小規模事業者を対象として実施した標的型攻撃メール訓練では、12.2%と報告されています。(出典:中小企業・小規模事業者に対する「標的型攻撃」メール訓練実施結果(2023年2月17日):https://www.tokyo-cci.or.jp/page.jsp?id=1033274)
標的型攻撃メール訓練の開封率は、理想は0%が望ましいです。理由としては、誰か一人でも、実際の攻撃メールに引っかかると情報漏えいにつながってしまうためです。上記の統計はあくまで、比較対象の目安として参考ください。
<セキュリオ全体の訓練状況における開封率推移>
※上記のグラフは2023年8月から2024年7月までの1年間の平均をまとめたものです。
※訓練の形式やメール文面、時期などで変動する要因は多岐にわたりますので、目安としてご参考ください。
なお、標的型攻撃メール訓練を実施した後に、標的型攻撃メールの見分け方をeラーニングを用いて教育することや、
社内アンケート機能を用いて「なぜ開封してしまったか」に関して、従業員から定性的なフィードバックを得ることもお勧めです。
弊社で配信している「セキュマガ」でも訓練に関する考え方やレポーティングについて紹介しておりますので、標的型攻撃メール訓練を効果的に実施するためにご参考ください。
<参考記事>
- 標的型攻撃メール訓練の成果は「報告率」!実施結果を正しくレポートするために(セキュマガ):https://www.lrm.jp/security_magazine/te_reporting_rate/
- 標的型攻撃メール訓練の開封率の目安って?本質的に効果につながるレポーティングとは(セキュマガ):https://www.lrm.jp/security_magazine/estimated_open_rate/