標的型攻撃メール訓練 ツール/サービスの選び方-確認すべき比較 項目とマストの機能

コラム・インタビュー

投稿日時: 更新日時:

標的型攻撃メール訓練 サービスの選び方-確認すべき比較 項目とマストの機能

標的型攻撃メール訓練を導入している企業は多いものの、年に数回テンプレートを一斉配信するだけの運用にとどまり、担当者の工数だけがかさんでいくケースは少なくありません。中堅・エンタープライズ規模の組織がこうした運用の限界を超え、人的な脆弱性を能動的な防御力へと転換していくためには、訓練ツールそのものの選び方が重要な分かれ目になります。

本記事では、標的型攻撃メール訓練の教育対象者が600名以上となる中堅~エンタープライズ企業を主な対象に、サービス選定や乗り換え時の検討項目と必要な機能を解説します。

サマリー

  • 訓練ツールの選定にあたっては、最新の攻撃傾向を反映したコンテンツ提供、AIによるパーソナライズ、ディレクトリ連携による配信自動化、ワンクリック報告ボタンとSOC連携、Just-in-Timeマイクロラーニングという5つの機能要件が重要になる
  • 訓練ツール・サービスは大きく、従来型の手動シミュレーションツール、AD連携と自動配信を備えた次世代のヒューマンリスク管理プラットフォーム、そして米CISAが無償提供するフィッシングキャンペーンアセスメント(PCA)という3つの類型に分けられる
  • それぞれ管理工数・コスト・機能範囲にトレードオフがあり、自組織の規模や予算、内製体制に応じて適した選択肢は異なる
  • 訓練効果の測定指標としては、クリック率だけでなく、不審メールを正しく報告した割合を示す報告率や、報告に至るまでの所要時間(個別検知迅速性)を重視する考え方が広がっている
  • 訓練ツールによる人的対策は、セキュアメールゲートウェイやコンテンツ無害化(CDR)、多要素認証といった技術的対策と組み合わせて初めて実効性を持つとCISAは説明している
  • イスラエルの国家サイバー局(INCD)が策定したサイバー防衛方法論(ICDM 2.0)は、想定される被害規模に応じて組織を分類し、被害影響度の大きい組織により強固な体制整備を求めており、この考え方は日本企業が自社の訓練・報告体制を設計する際の参考にもなる
  • 日本国内では経済産業省・IPAの「サイバーセキュリティ経営ガイドライン Ver3.0」が従業員教育の定期実施を経営者への指示事項として位置づけており、ISMS(ISO/IEC 27001)やプライバシーマーク(Pマーク)の認証取得・維持においても、訓練の実施記録は有用なエビデンスとなる
  • 訓練の実施頻度は年1〜2回の一斉配信では不十分とされ、負荷を分散させながら毎週何らかの形で接触する高頻度の運用が理想とされている
項目 内容
主要な機能要件 最新コンテンツ提供、AIパーソナライズ、配信自動化、報告ボタン、マイクロラーニング
ツールの類型 ①従来型手動ツール ②次世代ヒューマンリスク管理プラットフォーム ③CISA PCA(無償)
CISA PCAの概要 6週間の評価期間、クリック率のみ計測(実際の攻撃ペイロードは使用しない)、難易度レベル1〜6、無償提供
主要なKPI 報告率(Reporting Rate)、クリック率(Click-Through Rate)、個別検知迅速性(Reporting Timeliness)
技術対策との組み合わせ セキュアメールゲートウェイ、コンテンツ無害化(CDR)、Webトラフィック監視、MFA・パスキー
参考になる海外の枠組み イスラエルICDM 2.0(NIST CSFベース、被害影響度に応じた組織分類)

訓練ツールに求められる5つの機能要件

サービス/ツールがどれだけ最新のコンテンツを自動で提供してくれるか

昨今のサイバー攻撃はAIによって多量化・高度化しており、もはや人間の試行錯誤だけでは追いつけません。基本的な方針としては、どれだけ自社の労力をかけずに、最新の脅威に対応した訓練シナリオ・教育コンテンツが提供されるかという視点が重要になります。

実際、攻撃者が生成AIを用いて標的の役職や業務内容を分析し、不自然な文法やスペルミスといった従来の技術的な手がかりをほとんど含まない、パーソナライズされたフィッシングメールを作成する事例が増えています。

関連:【インタビュー】AIによりサイバー攻撃はどう変わるのか?トレンドマイクロに聞く企業がとるべき対策

当サイトで以前解説したフィッシング被害と心理トリガーの関係でも触れた通り、こうしたメールは技術的な手がかりが少なく業務との整合性が高いほど、最も検知が困難な部類に該当します。

この脅威の変化を踏まえると、訓練ツールには、あらかじめ用意された固定のテンプレート集だけに頼るのではなく、実際に観測されている最新の攻撃傾向を継続的に取り込み、訓練シナリオへ反映できる仕組みが求められます。

例えば、世の中で社長を騙る送金依頼のインシデントが確認された場合、同様の訓練メールテンプレートと訓練コンテンツをすぐに用意できるかという点がポイントです。

関連:ビジネスメール詐欺やなりすましチャットによる不正送金被害まとめ-はてななど上場企業関連9社と全国のLINE誘導型CEO詐欺-被害総額約20億6,000万円超。手口別に事例と対策を解説【最新版】

自社でコンテンツを追加しサービスで配信することも可能ですが、企業規模が大きくなるほど多種多様なフィッシングメール・標的型攻撃メールが送信され、攻撃経路(電話、SMS等)も複数発生するため、手作業での対応は現実的ではありません。

また訓練・教育テンプレートの更新が年単位・四半期単位でしか行われない場合は、攻撃者側の変化の速さに追いつけません。

企業規模が大きくなればなるほど、脅威情報の反映から訓練シナリオ・教育コンテンツへの反映までのリードタイムがどの程度か、ベンダーに具体的に確認しておく価値があります。

AIによるパーソナライズとマルチチャネル対応

訓練の効果を高めるには、全社一律のテンプレートではなく、自社の所属する業界・部署・個人・在籍期間・役職に応じてAIが自動で内容を調整できるかが重要な観点になります。

攻撃者側がAIによって標的をパーソナライズした攻撃を仕掛けてくる以上、防御側の訓練もまた、それぞれの従業員が置かれた状況に即した形でパーソナライズされている必要があります。

具体的には、経理・人事・システム管理者・役員秘書といった標的にされやすい部署に対しては、その職務に即したシナリオ(請求書処理、システム変更依頼等)を通常より高い頻度で配信する仕組みが望まれます。

あわせて、QRコードを使った疑似攻撃(Quishing)、SMSを使った疑似攻撃(Smishing)、音声によるなりすまし電話を模した疑似攻撃(Vishing)、SNSを使った疑似攻撃など、メール以外の複数チャネルについても、AIが従業員の属性や業務内容に応じて自動的にシナリオを生成し、統合的に管理・評価できることが望ましいとされています。

電子メールだけの訓練では、スマートデバイスやクラウドサービスを日常的に使う現在の業務環境を十分にカバーできません。

当サイトでも継続して取り上げてきた通り、金融機関をかたる自動音声電話を起点にした被害は国内でも相次いでおり、メール以外の経路への備えは実務上の優先度が高まっています。

一定規模以上の組織では、異動や入退社が日常的に発生するため、配信リストを手作業で更新し続けることは現実的ではありません。

Active Directory、Microsoft Entra ID、Google Workspaceといった認証基盤や、外部の人事システムとAPI連携し、対象者リストの追加・変更を自動的に反映できる機能が重要です。

あわせて、新入社員に対しては入社直後にベースラインとなる診断を行い入社後一定期間は集中的に基礎訓練を配信する仕組みが望まれます。

ワンクリック報告ボタンとSOC連携

訓練の成果を測るうえで重要なのは、クリック率の低さそのものよりも、不審メールを検知してから報告するまでの速さです。OutlookやGmailのツールバーに、ワンクリックで不審メールをインシデント対応チームへ報告できるボタンを組み込める機能は重要な検討項目です。

このボタンは、訓練用のシミュレーションメールと、実際の業務で届く本物の不審メールの両方に同じ操作で対応できる設計が望ましいとされます。訓練メールであれば適切な検知・報告として評価が記録され、本物のメールであればヘッダー情報や添付ファイルのハッシュ値等がSOC(セキュリティオペレーションセンター)やSOAR(セキュリティオーケストレーション・自動化・対応)システムへ構造化データとして転送され、最初の報告から全社的なブロック対応までの時間を短縮できます。

Just-in-Timeマイクロラーニングと心理的安全性

訓練メールのリンクをクリックしてしまった、まさにその瞬間に、なぜそのメールが不審だったのかを短時間で示す教育コンテンツを表示できる機能も重要です。長時間の研修動画を後日受講させるのではなく、その場で60〜90秒程度の解説やクイズを完結させる設計が効果的だとされています。この際、不審な箇所を赤枠等で客観的に指摘するにとどめ、従業員を非難したり羞恥心を生じさせたりしない、心理的安全性に配慮した内容で構成されていることが望まれます。

訓練の実施頻度-年1〜2回では不十分、理想は毎週の高頻度配信

訓練ツールを選定しても、実施頻度が低ければ効果は限定的です。年1〜2回、全社一斉に画一的なテンプレートを配信するだけの運用では、受講した内容が数カ月後の実際の攻撃に遭遇した際にはほとんど記憶に残っていません。認知科学の観点からも、セキュリティ意識は一度の研修で定着するものではなく、継続的な反復によって初めて行動習慣として根づくとされています。

理想的な頻度としては、毎週、少なくとも週1回のペースで何らかの形の疑似攻撃・マイクロラーニングに触れる機会を設けることをお勧めします。

ここでいう週次の取り組みは、必ずしも毎回シミュレーションメールを配信することを意味しません。ある週は難易度の低いシミュレーションメール、翌週はQRコードを使った疑似攻撃、その次の週は1分程度のマイクロラーニング動画の視聴のみ、というように、負荷を分散させながら高頻度で接触を続けることで、従業員の警戒感を継続的に維持できます。

前述の通り、経理・人事・システム管理者・役員秘書といった標的にされやすい部署については、この週次のペースをベースラインとしたうえで、通常より短い間隔でその職務に即したシナリオを追加配信することも検討に値します。

もっとも、こうした高頻度の運用は、従来型の手動シミュレーションツールでは現実的に不可能です。

テンプレートの選定・対象者リストの更新・配信作業を毎週手作業で行うことは、担当者の工数を著しく圧迫します。週次配信を無理なく継続するためには、

最新コンテンツの提供体制(機能要件1)と、ディレクトリ連携による配信自動化(機能要件3)を満たすツールの導入が事実上の前提条件になります。

訓練頻度を高めることと、管理工数を自動化によって抑えることは、表裏一体の課題として同時に検討する必要があります。

日本国内の公的ガイドライン・認証制度との関係

ここまで紹介してきたCISAのガイダンスやイスラエルのICDM 2.0はいずれも海外の枠組みですが、日本国内にも従業員教育・訓練の実施を求める公的な指針や認証制度が存在し、訓練ツールの選定・運用と密接に関係しています。

経済産業省とIPA(情報処理推進機構)が策定した「サイバーセキュリティ経営ガイドライン Ver3.0」は、経営者が実施すべき「重要10項目」の中で、従業員に対する教育を定期的に行い適切な対応が行えるよう日頃から備えることや、セキュリティ担当者に限らずデジタル部門・事業部門・管理部門等のあらゆる従業員に「プラス・セキュリティ」の知識・スキルを習得させることを求めています。

IPAが公表している実践のためのプラクティス集では、従業員向けサイバーセキュリティ教育の効果を高める具体的な工夫も紹介されており、標的型攻撃メール訓練はこうした教育施策の中核をなす取り組みの一つと位置づけられます。あわせてIPAが毎年公表する「情報セキュリティ10大脅威」でも、標的型攻撃による情報流出は組織編のランキングで継続して上位に位置しており、経営層への説明材料としても活用できます。

また、ISMS(ISO/IEC 27001)の認証を取得・維持している、あるいはこれから取得を目指す組織にとっては、附属書A等で求められる情報セキュリティに関する意識向上・教育及び訓練の管理策への対応として、標的型攻撃メール訓練の実施記録・受講状況・改善のPDCAサイクルを、審査時のエビデンスとして活用できます。プライバシーマーク(Pマーク)についても、従業者に対する教育の実施が認証基準に含まれており、定期的な訓練とその効果測定の記録は、認証の新規取得・更新双方の場面で有用な資料となります。訓練ツールを選定する際は、受講率・クリック率・報告率等のログをCSV等の形式でエクスポートし、内部監査や外部審査にそのまま提出できるレポート機能を備えているかどうかも、実務上のチェックポイントになります。

代表的な標的型攻撃メール訓練 サービス/ツール 4製品の比較

上記要件に、国内で導入実績のある代表的な4製品を例に、機能要件への対応状況を比較します。

対象は

  • AIエージェントによる自動運用を訴求する国内発の「ヤグラ セキュリティプラットフォーム」
  • 世界最大規模の導入実績を持つ「KnowBe4」
  • イスラエル発の技術をもとに国内向けにローカライズされた「AironWorks(アイロンワークス)」
  • そしてグローバル大手のメールセキュリティベンダーが提供する「Proofpoint Security Awareness Training(PSAT)」です。

なお、以下の評価は各社が公開している情報に基づくものであり、△の項目は自組織での要件確認時に個別に問い合わせることをお勧めします。

評価軸 ヤグラ KnowBe4 AironWorks Proofpoint(PSAT)
ディレクトリ連携による自動配信
ワンクリック報告ボタン・SOC連携 ○ 報告ボタン+AI自動分析+IPブロック等の自動封じ込め ○ Phish Alertボタン+PhishER(SOAR)+PhishRIP+PhishFlip ○ ワンクリック報告機能 ○ PhishAlarm+PhishAlarm Analyzer+Threat Response Auto-Pull(TRAP)
Just-in-Timeマイクロラーニング △ 結果に応じた個別配信、即時性の明記なし △ 「コンパクトな間隔」での実施を訴求 △ 不合格者への補習、即時性の明記なし ○ 5〜15分の短時間モジュール、クリック時の自動割当を確認
マルチチャネル対応 ○ メール・SMS・電話(ビッシング) ○ 電子メール・USB・音声(SMS/QRの明記は限定的) ○ メール・SMS・SNS(X/Facebook/Instagram/LinkedIn) ○ フィッシング・スミッシング・USBシミュレーション
AIによる脅威パーソナライズ化 ◎ AIが最新攻撃パターンを学習しシナリオ・教材を自動生成 ◎ AIネイティブのディフェンスエージェントによるコンテンツ・テンプレート自動生成 ◎ Web・ダークWebの企業情報をAIが収集・分析し攻撃シナリオを自動生成 ◎ 脅威インテリジェンスに基づくタイミング最適化を確認、生成AIによる個別文面生成の明記は限定的
多言語対応 △   公開情報からは多言語対応の明記なし(国内向け中心) ○ 35言語以上、日本語コンテンツも300〜340種以上 △ 日本語/英語他 ◎ 35言語以上に対応。地域ごとのセキュリティ事情に即したコンテンツを各地域向けに作成・提供する設計思想を明記

海外子会社を含めて統合的に訓練・報告体制を管理する必要がある組織にとって、多言語対応は見落とされがちですが重要な選定基準です。

単に画面表示やテンプレートの文言を機械的に翻訳できるかだけでなく、各地域で実際に流通している攻撃の傾向や、現地の商習慣に即した文面になっているかという、コンテンツの質そのものが問われます。

今回比較した4製品のうち、Proofpointは「グローバル企業は簡潔で一貫したサイバーセキュリティメッセージを全世界の従業員に共有する必要がある」という考え方のもと、地域ごとにローカライズされたトレーニングプログラムを提供する設計思想を明記しており、KnowBe4も35言語以上・日本語コンテンツ300種類超という規模で対応しています。

一方、ヤグラとAironWorksは国内向けの訓練・教育に強みを持つ設計で、特にAironWorksは日本文化への適合を独自の強みとして訴求しているため、海外拠点を含めた多言語展開が要件になる場合は、対応状況を個別に確認することをお勧めします。

このほか、報告ボタンとSOC・SOAR連携についてはKnowBe4とProofpointがそれぞれ独自の付随製品(KnowBe4のPhishER、ProofpointのThreat Response Auto-Pull)まで含めた成熟したエコシステムを公開情報上で確認できる一方、AIによる脅威のパーソナライズ化についてはヤグラ・AironWorksの説明がより具体的である点も、各社の設計思想の違いとして参考になります。

ディレクトリ連携(AD・Entra ID等との自動連携)については、各製品ごとのGoogle WorkspaceやMicrosoft Active Directoryなど対応できるサービスが変わりますので導入を検討する際は商談・見積もりの段階で必ず確認することをお勧めします。

ツール・サービスの大まかな種類

訓練ツール・サービスは大きく3つの類型に分けられます。

1つ目は、担当者が事前に用意された静的なテンプレートを選び、対象者リストを手動でアップロードして不定期に配信する従来型の手動シミュレーションツールです。初期の導入コストは比較的抑えられますが、配信対象の更新やテンプレートの選定、未受講者へのフォローといった運用の手間が大きく、対応が後回しになりやすいという課題があります。

2つ目は、次世代のヒューマンリスク管理プラットフォームです。

人事データベースと自動連携し、個々の従業員の過去の検知・報告実績に応じて、難易度やチャネルの異なる疑似攻撃を自動的かつ高頻度に配信します。AIによる客観的な難易度評価や報告ボタンとの統合、マルチチャネル対応が可能な製品が多く、管理工数を大きく抑えられる一方、ライセンスコストは従来型ツールより高くなる傾向があります。

3つ目は、米CISA(サイバーセキュリティ・インフラセキュリティ庁)が公共機関や民間の重要インフラ事業者向けに無償提供している「フィッシングキャンペーンアセスメント(PCA)」です。

CISAの公式資料によれば、PCAは6週間の評価期間を通じて、実際の攻撃ペイロードは使用せずクリック率のみを計測する仕組みで、Level1(易しい)からLevel6(難しい)までの段階的なテンプレートを用いて、組織のフィッシング耐性を客観的に測定できます。無償である一方、スポット的な評価に限定されており、日常的な継続訓練や報告ボタンとSOCとの連携といった運用面の機能は提供されません。本格的なツール導入前の現状診断や、定期監査の一環として活用するのに向いた位置づけだといえます。

評価軸 ①従来型手動ツール ②次世代ヒューマンリスク管理プラットフォーム ③CISA PCA(無償)
主な用途 年1〜2回の全社一斉訓練 継続的・適応型の人的リスク低減 フィッシング耐性の定量的なベースライン診断
配信制御 手動でのリスト管理 AD等と連携した自動配信 6週間の定義済みフェーズ配信
難易度評価 担当者の主観に依存 AI等による客観指標を採用する製品が多い CISA定義のレベル1〜6
マルチチャネル対応 メール中心 メール・QR・SMS・音声等に対応する製品が多い メールのみ
報告ボタン・SOC連携 簡易な連携にとどまることが多い 専用ボタンとSIEM/SOAR連携に対応する製品が多い 非対応(クリック率測定のみ)
管理工数 高い(手作業が中心) 導入後は比較的低い 中程度(評価期間中の調整が必要)
コスト ライセンスは低めだが運用人件費が発生 ライセンスは中〜高 無償(対象・時期に制約あり)

訓練効果を測る主要指標(KPI)

クリック率だけでなく、以下のような指標をあわせて追跡することで、訓練プログラム全体の実効性をより正確に把握できます。

1つ目は報告率(Reporting Rate)です。

配信したシミュレーション総数のうち、従業員が正しく不審メール報告の操作を行った割合を指します。セキュリティ意識向上分野のベンダーの中には、自社の分析に基づき、強固な防衛力の目安として70%以上の報告率を示しているところもありますが、これは特定ベンダーが公表する目安値であり、業種や組織規模によって適切な水準は異なりうる点に留意してください。

2つ目はクリック率(Click-Through Rate)です。

配信数のうちリンクをクリックまたは添付ファイルを開いた従業員の割合を指します。セキュリティ意識向上分野のベンダーが公表した顧客データに基づくベンチマーク報告(2025年版)によれば、初期段階で平均33%前後だったクリック率が、12カ月にわたる定常的な訓練の継続によって4%台まで改善したケースが示されています。ただしこれも特定ベンダーの顧客データに基づく数値であり、すべての組織に同様の改善が保証されるものではありません。

3つ目は個別検知迅速性(Reporting Timeliness)です。

シミュレーションメール(あるいは実際の脅威メール)が受信箱に届いてから、個々の従業員が報告操作を完了するまでの実際の時間を指します。

当サイトで以前まとめた報告率の重要性についての国際的な公的機関の見解でも触れた通り、最初の報告がどれだけ早く行われるかは、攻撃者が組織内に足場を築くまでの時間を左右する重要な要素であり、この検知スピードが数分単位まで短縮されることで、SOCは実際のインシデントに対して先手を打った対応を取りやすくなります。

技術対策との統合-CISAガイドラインとイスラエルICDM 2.0モデル

どれほど優れた訓練ツールを導入しても、人的対策だけでサイバー攻撃を防ぎきることはできません。

CISAが公表しているカウンターフィッシング関連のガイダンスでは、従業員の最後の一クリックに頼る前に、複数の技術的対策によって、そもそも従業員の受信箱に届く不審メールの総数を減らすことを推奨しています

。具体的には、送信ドメイン認証(SPF・DMARC等)やレピュテーション情報に基づくセキュアメールゲートウェイの強化、メール内の動的コンテンツやハイパーリンクを無害化するコンテンツ無害化(CDR)技術の活用、プロキシやセキュアDNSによるアウトバウンド通信の監視、そして管理者権限の制限とフィッシング耐性のある認証方式(FIDO2準拠のパスキーやハードウェアトークン等)の導入が挙げられています。

イスラエルの国家サイバー局(INCD)が策定したサイバー防衛方法論(ICDM 2.0)は、NIST サイバーセキュリティフレームワークを基盤とした組織向けの枠組みで、想定される被害の重大性に応じて組織を「Category A(相対的に被害影響度が低い)」と「Category B(被害影響度が大きい)」に分類し、Category Bに該当する組織にはより強固な体制整備を求めています。

INCD自身も、市民や企業から不審なメール・SMS・電話に関する通報を24時間体制で受け付ける仕組みを運用しており、寄せられた報告をもとに悪意あるリンクのブロック等の対応につなげています。こうした、従業員や国民からの報告を組織・国家の防御網の一部として組み込むという考え方は、自社の訓練・報告体制を設計するうえでも参考になる視点です。

選定時のチェックリスト

自組織で訓練ツールを選定する際は、以下の観点を確認することをお勧めします。

  • 人事システムやディレクトリサービスと連携し、対象者リストの更新が自動化されているか。
  • 報告ボタンが訓練用・実業務用の両方で使え、SOCやSOARと連携できるか。
  • クリックしてしまった際の教育コンテンツが、従業員を非難しない設計になっているか。
  • メールだけでなくSMS・QRコード・音声通話といった複数の経路を模した訓練に対応しているか。
  • 攻撃者側のAI活用による脅威の変化を、テンプレートや教育コンテンツへどの程度の速さで反映できるか。
  • ISMSやPマークの審査で提出できるレポート機能を備えているか。

そして、自組織の予算・内製体制に照らして、従来型ツール・次世代プラットフォーム・CISA PCAのような無償診断サービスのいずれが適しているか、あるいはこれらを段階的に組み合わせるべきか

を検討することが重要です。

情報システム部門への示唆

訓練ツールの選定は、単なる製品比較にとどまらず、自社のセキュリティ文化そのものをどう設計するかという問いでもあります。当サイトで以前解説したNIST Phish Scaleを使った訓練効果の測定方法とあわせて、ツール選定の段階から、クリック率だけでなく報告率や検知の速さを重視する設計思想を持つ製品・サービスを選ぶことが、長期的な人的レジリエンスの向上につながります。

予算やリソースが限られている組織では、まずCISA PCAのような無償の診断サービスを使って自社の現在地を把握し、そのうえで本格的な次世代プラットフォームの導入を検討するという段階的なアプローチも現実的な選択肢です。いずれのツールを選ぶ場合でも、報告ボタンによって得られた実際の脅威情報を、セキュアメールゲートウェイやエンドポイント保護といった技術的対策側へフィードバックし、両者が連動する体制を構築することが、訓練を単なる年中行事で終わらせず、実効性のある防御網へと発展させる鍵になります。

よくある質問(FAQ)

Q. 標的型攻撃メール訓練はどのくらいの頻度で実施すべきですか? 年1〜2回の一斉配信だけでは効果が限定的だとされています。前述の通り、負荷を分散させながら毎週何らかの形で接触する高頻度の運用が理想であり、これを無理なく継続するには配信自動化機能を備えたツールの活用が事実上前提になります。自組織でいきなり週次運用へ移行することが難しい場合は、まず月次配信から始め、段階的に頻度を引き上げていく方針でも構いません。

Q. 訓練ツールの費用相場はどの程度ですか?

従来型の手動シミュレーションツールはライセンス費用自体は比較的低価格ですが、運用に伴う人件費が別途発生します。次世代のヒューマンリスク管理プラットフォームはライセンス費用が中〜高価格帯になる一方、管理工数の削減分を含めた総保有コストで比較検討することが重要です。具体的な金額は従業員数・機能範囲・契約形態によって大きく変動するため、複数のベンダーから見積もりを取得し、自組織の規模に見合ったプランを比較することをお勧めします。

Q. クリックしてしまった従業員は人事評価上どう扱うべきですか?

当サイトで以前解説した非難なきセキュリティ文化(No-Blame Culture)の考え方に基づけば、クリックしたこと自体を人事評価の減点対象とすることは推奨されません。懲罰的な扱いは、実際のインシデント発生時に従業員が報告をためらう心理的な障壁を生み、被害の発覚・封じ込めを遅らせるリスクがあるためです。連続して複数回クリックする従業員に対しては、罰則ではなく個別のフォローアップ教育で対応することが望ましいとされています。

Q. 訓練の実施はISMSやPマークの認証取得・維持の要件になりますか?

直接的に「標的型攻撃メール訓練の実施」自体が明文で義務付けられているわけではありませんが、ISMS(ISO/IEC 27001)における情報セキュリティの意識向上・教育及び訓練に関する管理策や、Pマークにおける従業者教育の要件を満たすための具体的な手段として、多くの認証取得組織が標的型攻撃メール訓練を実施し、その記録を審査時のエビデンスとして活用しています。審査員から実施頻度や効果測定の方法について質問されるケースもあるため、実施記録・受講率・改善状況を体系的に残しておくことをお勧めします。

出典