年3回？ 4回？ 標的型攻撃メール訓練の効果を最大化する「黄金ルール」とは LRMが調査：効果を最大化する3つの鍵

LRMは、標的型攻撃メール訓練に関する調査結果を発表した。調査結果からは、一度の訓練では従業員の「報告意識」を高めることは難しいものの、ある回数を超えると大幅に不審メール報告率が向上することが分かった。

[＠IT]

　LRMは2025年4月16日、標的型攻撃メール訓練に関するの実施状況と不審メール報告率に関する実態調査の結果を発表した。この調査は、民間企業と自治体、官公庁に勤務する従業員／職員を対象に実施し、1159人から有効回答を得た。なお、不審メール報告率とは、標的型攻撃メール訓練を受けた従業員／職員のうち、それを不審なメールだと報告した人の割合を指す。

期待する効果が得られるのは何回目の訓練から？

　調査結果によると、訓練回数が増えるほど不審メールの報告率が向上した。特に、年間4回以上訓練を実施した場合、47.8％の組織で不審メール報告率が50％以上となった。これに対して、年間1回しか訓練を実施しなかった組織では、不審メール報告率が50％以上となった割合は14.5％だった。

年間の訓練実施回数別、不審メール報告率（提供：LRM）

　標的型攻撃メール訓練の教育内容を見ると、「eラーニング」「集合研修」「標的型攻撃メール訓練」の3つを実施した組織が、不審メール報告率50％以上の組織の割合が41.4％で最も高かった。これに対して、eラーニングと標的型攻撃メール訓練を実施した組織では、不審メール報告率50％以上の割合は29.0％。標的型攻撃メール訓練のみを実施した組織では、不審メール報告率50％以上の割合は24.5％だった。

教育方法の違いによる不審メール報告率（提供：LRM）

　外部パートナーによる支援の有無も、従業員の不審メール報告意識を向上に影響を与えていることが分かった。外部パートナーによる支援を受けている組織では、不審メール報告率50％以上の組織の割合が42.1％だったのに対して、外部パートナーによる支援を受けたことがない組織では、不審メール報告率50％以上の割合は23.2％だった。

外部パートナーによる支援と不審メール報告率（提供：LRM）

　こうした結果からLRMは「従業員の不審メール報告意識を向上させるには、標的型攻撃メール訓練を、年間を通じて4回以上繰り返し実施することが重要だ。さらに、複数の訓練方法を組み合わせて教育することと、外部パートナーによる支援も考慮して取り組むべきだ」と分析している。