2026年3月11日(水)のリリースにて、標的型攻撃メール訓練のセキュリティスキャン判定機能が全顧客向けに開放されました。併せて、機械学習(SVM)を用いた自動判定が導入され、セキュリティスキャンによって作られた行動履歴をこれまでより高精度に検出できるようになりました。
この記事では、セキュリティスキャン判定の概要・仕組み・活用方法について説明します。
セキュリティスキャンとは
セキュリティツール(メールセキュリティ製品やウイルス対策ソフトなど)がメールの安全性確認のために訓練メールを自動的に開きアクセスすることを、セキュリオでは「セキュリティスキャン」と呼んでいます。
このスキャンは、メール内の悪意あるURLや添付ファイルへのアクセスを未然にブロックするためのセキュリティツールの仕組みであり、多くの企業で導入されているセキュリティ対策です。セキュリティツールは、メールを受信した際や開封されたタイミングなどで、本文中の画像・URL・添付ファイルへ自動的にアクセスし、安全かどうかを検証します。
この動作によって、実際にはユーザー(人)が操作していない場合でも、以下のような訓練の記録が作成されることがあります。
- メールを「既読した」と記録される
- リンクを「クリックした」と記録される
- 添付ファイルを「開いた」と記録される
「誤検知」ではありません
セキュリティスキャンによって作成された履歴は、訓練機能の誤作動・誤検知ではありません。むしろ、お客様の環境が高いセキュリティで保護されていることが証明されており、良いことです。
訓練においてはノイズになってしまいますが、後述する「セキュリティスキャン判定」によって正しく判定・振り分けを行うことで、訓練の集計結果を正確な状態にできます。
要点
セキュリティスキャンとは
セキュリティツールが、メールの安全性確認のために訓練メールへ自動的にアクセスし、セキュリオの訓練結果にリンククリックなどの履歴を残す事象を指します。
セキュリティスキャンは従業員の意図によるものではなく、セキュリティツールが自動的に行う動作です。従業員がリンクをクリックしていなくても、スキャンによってURLへのアクセスが発生します。
セキュリティスキャンが発生するとどうなるか
セキュリティスキャンが発生すると、訓練メールに埋め込まれた統計取得用URLへのアクセスが発生し、意図しないリンククリックなどの履歴が作成されてしまいます。
これにより、訓練結果が実態と乖離したデータになる可能性があります。
影響を受ける指標の例
- リンククリック率:セキュリティツールが訓練メール内のURLに自動アクセスすることで、実際には誰もクリックしていないにもかかわらず「クリックした」として記録され、クリック率が実態より高くなる場合があります。
- 添付ファイルオープン率:セキュリティツールが添付ファイルの安全性を確認するためにアクセスすることで、「添付ファイルを開いた」として記録され、開封率が実態より高くなる場合があります。
セキュリティスキャンによる履歴が混在すると、「実際にどれだけの従業員がフィッシングに引っかかったか」を正確に把握できなくなり、 訓練の効果測定や改善施策の判断精度が低下するリスクがあります。
セキュリオで行っている対策
セキュリオでは、この問題を解決するために、セキュリティスキャンによって生成された履歴かどうかを識別し、訓練統計の集計から除外する仕組みを提供しています。
セキュリオではこの仕組みを「セキュリティスキャン判定」と呼びます。
セキュリティスキャン判定によって、意図しない履歴が混ざっても、従業員の実際の行動のみを反映した、信頼性の高い訓練結果を得られます。
要点
- セキュリティスキャンが発生すると、従業員が操作していないにもかかわらずリンククリックや添付ファイル開封として記録されることがある
- その結果、リンククリック率・添付ファイルオープン率などの訓練指標が実態より高くなる可能性がある
- セキュリオのセキュリティスキャン判定がこれを識別し、統計から除外することで正確な訓練結果を維持する
セキュリティスキャン判定とは
セキュリティスキャンによって生成された履歴かどうかを識別し、訓練統計の集計から除外する仕組みです。
セキュリティスキャン判定は、下記2種類に判別します。
| 判定種別 | 意味 |
|---|---|
| ユーザーによる行動 | 従業員が実際にリンクをクリックするなどの操作を行ったと判定された履歴 |
| セキュリティスキャン | セキュリティツールが自動スキャンした際に生成されたと判定された履歴 |
集計結果からの除外
セキュリティスキャン判定によって、意図しない履歴が混ざっても、「セキュリティスキャン」と判定されたデータは、訓練の集計結果から除外され、正しい訓練結果を得ることができます。
判定結果の手動更新
管理者は、判定結果を手動で更新することができます。
セキュリティスキャン判定は複数層のロジックによって判定しますが、未学習などの理由により判定を誤ることも稀にあります。
例:メール環境のセキュリティスキャンやURLプレビュー、端末・ネットワーク(VPN/プロキシ等)のセキュリティ機能等
その際は判定結果を更新いただくことで、訓練の集計結果をより正確な状態に近づけることが可能です。
- 行動履歴のセキュリティスキャン判定を手動で更新する
https://support.lrm.jp/hc/ja/articles/53457196334233
更新のユースケース
- 「セキュリティスキャン」→「ユーザーによる行動」への変更:セキュリオがスキャンと判定した履歴について、実際にはユーザーが操作したものだと確認できた場合に更新ください。
- 「ユーザーによる行動」→「セキュリティスキャン」への変更:セキュリオがスキャンと判定しなかった履歴について、実際にはスキャンである、または従業員の申告によって本当に何もしていないと確認できた場合に更新ください。
判定をより正確に行うために
お客様の環境に応じて、セキュリティスキャンによるアクセスをより正確に除外する設定を行うことができます。
セキュリティソフトによるスキャンの回避設定
セキュリティツール側の設定で、訓練メールに対する自動スキャンが行われないようにすることが可能な場合があります。設定方法は下記をサポートページをご確認ください。
旧 セキュリティスキャン判定の取り扱い
2026年3月11日(水)以前からセキュリティスキャン判定機能をご利用のお客様向け
このセクションは、SVMによるセキュリティスキャン判定とは別に、一部のお客様向けに開放されていた、ブラックリスト・ホワイトリストを用いたセキュリティスキャン判定に関する内容です。
ブラックリストによるセキュリティスキャン判定 / ホワイトリストによるセキュリティスキャン判定 の今後の取り扱い
2026年3月11日のSVMによるセキュリティスキャン判定機能リリース以降も、ブラックリスト・ホワイトリストによる判定は引き続き有効です。SVMとブラックリスト・ホワイトリストは複数層の判定ロジックとして組み合わせて動作します。
判定の優先順位とフロー
各行動履歴に対して、以下の順序で判定が行われます。通常、ホワイトリストとブラックリストの両方が適用されることはありません。
ホワイトリストによるセキュリティスキャン判定機能が開放されている場合(優先順位)
- ホワイトリストによるセキュリティスキャン判定
- SVMによるセキュリティスキャン判定
ブラックリストによるセキュリティスキャン判定機能が開放されている場合(優先順位)
- ブラックリストによるセキュリティスキャン判定
- SVMによるセキュリティスキャン判定
判定優先順位のまとめ
- ホワイトリスト > SVMセキュリティスキャン
- ブラックリスト> SVMセキュリティスキャン
最後に
SVMによるセキュリティスキャン判定が導入されたことで訓練結果の精度は向上しますが、セキュリティスキャンが発生すること自体は継続します。これはメールという仕組みを利用する以上、常に発生する機能特性とご理解ください。
セキュリオはその特性を理解し、より正確で信頼性の高い判定を行えるよう改善を続けて参ります。
Q&A
Q. SVMセキュリティスキャン判定はどの行動履歴に適用されますか?
A. 2026年3月11日以降に記録された行動履歴が対象です。訓練の作成日・配信日は問いません。リリース前に作成・配信された訓練であっても、リリース後にリンクのクリックなどが発生した場合は、SVMによるセキュリティスキャン判定が適用されます。
Q. セキュリティスキャン判定が導入される前に記録された行動履歴はどうなりますか?
A. 2026年3月11日より前に記録された行動履歴には、SVMによる判定は適用されません。
Q. セキュリティスキャンと判定された履歴は、訓練の統計に影響しますか?
A. セキュリティスキャンと判定された行動履歴は、「訓練結果」の集計から除外して扱われます。そのため、訓練の実施結果(クリック率など)をより正確に把握できるようになります。「行動履歴」画面には、セキュリティスキャンと判定された履歴も記録されますが、「訓練結果」画面で表示される訓練結果は、すべて「ユーザーによる行動」と判定された行動履歴から集計を行います。
Q. 自社のセキュリティ製品がスキャンしているかどうかわかりません。
A. セキュリティスキャンと判定された履歴があれば、お使いのセキュリティツールが訓練メールのリンクやファイルをスキャンしている可能性が高いと判断できます。