公開日
フィッシング訓練で油断?効果は1.7%、逆にリスク増の可能性も【研究解説】
巧妙化するフィッシング攻撃は、企業にとって依然として大きな脅威です。多くの組織では、従業員のセキュリティ意識を高め、被害を未然に防ぐために、年次のセキュリティ研修や模擬フィッシングメールを用いた訓練など、様々な対策トレーニングを実施しています。しかし、これらのトレーニングは本当に期待通りの効果を上げているのでしょうか?多大なコストと時間をかけているにも関わらず、その有効性については疑問の声も聞かれます。 「うちの会社の研修、意味あるのかな…」 そう感じている方も少なくないかもしれません。
本記事では、2025年のIEEE Symposium on Security and Privacy (SP)で発表された研究論文「Understanding the Efficacy of Phishing Training in Practice」に基づき、大規模な実証実験から明らかになったフィッシング対策トレーニングの有効性に関する衝撃的な結果と、その背景にある要因を詳しく解説します。
年次セキュリティ意識向上トレーニングの効果は?最新の受講でも失敗率は変わらず
多くの企業で義務付けられている年次セキュリティ意識向上トレーニング。これには、フィッシング攻撃の手口や見分け方に関する内容も含まれているのが一般的です。しかし、この年次トレーニングは、従業員が実際にフィッシングメールに騙される確率をどれほど低減できるのでしょうか。
年次サイバーセキュリティ意識向上トレーニングで用いられる演習の一例
今回の研究では、UC San Diego Healthの従業員を対象に、年次トレーニングの完了時期と、その後の模擬フィッシングメールに対する失敗率との関連性が分析されました。その結果、トレーニングを最近完了した従業員と、完了してから時間が経過した従業員との間で、フィッシングメールのリンクをクリックしてしまう確率に 統計的に意味のある差は見られませんでした。 下の図が示すように、トレーニング完了からの経過日数に関わらず、失敗率の平均線(黒い破線)はほぼ横ばいであり、特定の時期に顕著な低下は見られません。このことは、年次トレーニングで得た知識が、実際のフィッシング攻撃への対処能力向上に持続的に結びついていない可能性を示唆しています。つまり、研修を受けた直後であっても、フィッシングメールに引っかかるリスクはあまり変わらない、という厳しい現実が浮かび上がってきたのです。
年次セキュリティ意識向上トレーニング完了後の経過日数とフィッシングシミュレーション失敗率の関係
横軸がトレーニング完了からの経過日数(30日間隔)、縦軸が失敗率を示します。
埋め込み型フィッシングトレーニングの有効性:「限定的」という厳しい結果
年次トレーニングと並行して、多くの企業が導入しているのが、従業員に模擬フィッシングメールを送信し、リンクをクリックしてしまった場合にその場で教育コンテンツ(トレーニング)を提供する「埋め込み型フィッシングトレーニング」です。この手法は、より実践的な学びの機会を提供すると期待されていますが、その実力はいかほどでしょうか。
どのようなトレーニングが比較されたのか?研究デザインの概要
この研究では、UC San Diego Healthの従業員約19,500人を対象に、8ヶ月間にわたるランダム化比較試験が実施されました。従業員は、トレーニングを一切受けない「対照群」と、模擬フィッシングメールに失敗した際に異なる種類の埋め込み型トレーニングを受ける4つの「トレーニング群」にランダムに割り当てられました。トレーニングの種類は、一般的な情報を提供する「ジェネリック」なものか、受信した模擬メールの内容に即した「コンテクスチュアル(文脈的)」なものか、そして教材が静的なウェブページか、操作を伴う「インタラクティブ(体験型)」なものか、という組み合わせで分けられました。
効果はわずか2%未満?トレーニング群と対照群の失敗率比較
詳細な統計モデリングを用いた分析の結果、トレーニングを受けた群の従業員は、対照群の従業員と比較して、フィッシングシミュレーションに失敗する確率が統計的に9.5%低いことが示されました。しかし、この「9.5%低い」という相対的なリスク減少を、実際の失敗率の絶対的な差で見ると、平均してわずか1.7%程度の改善にしかならないことが明らかになりました。つまり、トレーニングを受けたとしても、受けなかった場合と比較して、フィッシングメールに騙される確率が劇的に下がるわけではない、というのが実情のようです。100人がトレーニングを受けても、結果的に騙されなくなるのは1人か2人程度、という計算になります。
各フィッシングのおとり(手口)に対して、どのトレーニング群の従業員がどれくらいの割合で失敗したかを示します
| フィッシングのおとり | 対照群 | 一般静的 | 一般体験型 | 文脈静的 | 文脈体験型 |
|---|---|---|---|---|---|
| Login Account (アカウント情報) | 3.44% | 1.14% | 0.97% | 1.27% | 1.13% |
| Outlook Pwd (パスワードリセット) | 1.62% | 1.72% | 1.85% | 2.41% | 1.52% |
| John Davis (個人名義の通知) | 9.56% | 7.01% | 6.4% | 6.38% | 7.45% |
| Docusign (電子署名) | 11.06% | 9.98% | 10.05% | 10.2% | 9.75% |
| OneDrive Medical (医療関連ファイル共有) | 9.89% | 9.37% | 9.25% | 8.54% | 9.16% |
| Open Enroll (福利厚生登録) | 9.02% | 6.67% | 7.01% | 6.68% | 6.76% |
| Vacation Policy (休暇規定) | 31.02% | 30.58% | 30.58% | 31.99% | 29.85% |
| Traffic Ticket (交通違反通知) | 20.39% | 20.07% | 17.25% | 16.37% | 19.37% |
| Building Evac (避難訓練) | 11.67% | 8.25% | 8.55% | 8.4% | 9.32% |
| Dress Code (服装規定) | 29.96% | 27.01% | 26.98% | 27.41% | 26.88% |
「おとり」の巧妙さの影響がトレーニング効果を上回る現実
さらに深刻なのは、送信される模擬フィッシングメールの「おとり(lure)」の種類によって、従業員の失敗率が大きく変動するという事実です。以下の表が示すように、おとりの内容によっては失敗率が1.8%程度と低いものもあれば、30%を超える非常に高いものも存在します。この失敗率の変動幅は、トレーニングによって得られるわずか1.7%の改善効果をはるかに上回っています。つまり、従業員が騙されるかどうかは、受けたトレーニング内容よりも、受信したフィッシングメールがどれだけ巧妙か、という点に大きく左右される可能性が高いのです。これでは、いくらトレーニングを積んでも、より巧妙な攻撃の前には無力だと感じてしまうかもしれません。
各フィッシングメールのおとり(lure)の種類、それを受け取った従業員の数、そして平均的な失敗率を示します
| フィッシングのおとり | 受信者数 | 平均失敗率 |
|---|---|---|
| Outlook Pwd | 4,931 | 1.82% |
| Login Account | 12,720 | 1.85% |
| Open Enroll | 14,691 | 7.62% |
| Shared Doc (Microsoft) | 15,683 | 8.99% |
| OneDrive Medical | 18,438 | 9.20% |
| Docusign | 23,526 | 9.63% |
| Building Evac | 17,359 | 10.33% |
| Traffic Ticket | 17,676 | 18.60% |
| Dress Code | 4,954 | 27.65% |
| Vacation Policy | 17,923 | 30.80% |
なぜ期待した効果が出ない?フィッシング訓練の構造的な課題
では、なぜこれらのフィッシング対策トレーニングは、期待されるほどの効果を上げていないのでしょうか。研究では、その構造的な課題も指摘されています。
問題点:トレーニングは「失敗者」限定、大多数は素通りでいずれ被害に
埋め込み型フィッシングトレーニングの基本的な仕組みとして、トレーニング教材に触れるのは、模擬フィッシングメールのリンクをクリックして「失敗」した従業員のみです。つまり、各シミュレーションで大多数を占める「成功」した(クリックしなかった)従業員は、その時点では何のトレーニングも受けません。
しかし、以下の図が示すように、調査期間(8ヶ月)を通じて、模擬フィッシングメールのリンクを 少なくとも1回クリックした従業員の割合は、最終的に56% に達しました。最初の1ヶ月で失敗した従業員は9.7%でしたが、回を重ねるごとに新たな「失敗者」が増え続けています。このことは、一度や二度のシミュレーションを乗り切ったとしても、多くの従業員がいずれはフィッシングの罠にかかるリスクを抱えていることを意味しています。そして、その「失敗」のタイミングでしかトレーニング機会が提供されない現行の仕組みでは、効果的な予防とは言い難い状況です。 「今回は大丈夫だった」と安心している人も、次は我が身かもしれないのです。
調査期間を通じて、模擬フィッシングメールのリンクを少なくとも1回クリックしてしまった従業員の累積割合
従業員はトレーニングにどう向き合っている?低いエンゲージメントの実態
トレーニング効果を左右するもう一つの重要な要素は、従業員がトレーニング教材にどれだけ真剣に取り組んでいるか、つまり「エンゲージメント」です。この点に関しても、研究は厳しい現実を明らかにしています。
驚きの短時間:トレーニング閲覧時間は平均10秒未満、完了率も低迷
模擬フィッシングメールに失敗し、トレーニングページが表示されたとしても、多くの従業員はその内容をじっくりと確認していません。以下の表は、各トレーニングセッションに費やされた時間を示していますが、例えば「一般静的」トレーニングの場合、中央値(50パーセンタイル、つまり半数の人がこの時間以下)はわずか7秒、「一般体験型」トレーニングに至っては中央値が0秒(つまり、半数以上の従業員がページを開いてすぐに閉じてしまっている)という衝撃的な結果でした。最も長くても、90パーセンタイルの従業員(上位10%の人)でさえ、閲覧時間は数十秒から1分程度にとどまっています。これでは、教育コンテンツが十分に伝わっているとは到底言えません。
各種埋め込み型トレーニングセッションに、従業員がどれくらいの時間を費やしたかの要約
| 統計量 | 一般静的 | 一般体験型 | 文脈静的 | 文脈体験型 |
|---|---|---|---|---|
| 0秒セッション割合 | 39.7% | 51.3% | 37.3% | 44.3% |
| 25パーセンタイル (短い方から1/4の人) | 0秒 | 0秒 | 0秒 | 0秒 |
| 50パーセンタイル (中央値) | 7秒 | 0秒 | 10秒 | 6秒 |
| 75パーセンタイル (長い方から1/4の人) | 19秒 | 24秒 | 27秒 | 48秒 |
| 90パーセンタイル (上位10%の人) | 34秒 | 70秒 | 52秒 | 101秒 |
さらに、トレーニング教材の最後に設けられた「理解・完了」ボタンを押して正式にトレーニングを終えた従業員の割合(完了率)も、全体で24.0%と低い水準でした。特に体験型形式のトレーニングは、全ての質問に回答しないと完了ボタンが表示されないためか、完了率がさらに低い傾向にありました。
埋め込み型トレーニングセッションの平均完了率
| トレーニング種類 | 平均完了率 |
|---|---|
| 全体 | 24.0% |
| 一般静的 | 32.6% |
| 文脈静的 | 24.2% |
| 一般体験型 | 15.6% |
| 文脈体験型 | 23.5% |
「訓練疲れ」が原因ではない?エンゲージメント低下の背景にあるもの
このような低いエンゲージメントは、何度もトレーニングを受けることによる「訓練疲れ」が原因なのでしょうか?研究ではこの点も分析されましたが、初めてトレーニングを受ける従業員と、既に複数回受けている従業員とで、完了率に大きな差は見られませんでした。このことから、エンゲージメントの低さは訓練疲れというよりも、従業員が日々の業務の中でセキュリティトレーニングを優先事項と捉えていない、あるいは内容に興味を持てないといった、より根源的な要因に起因する可能性が考えられます。「忙しいのに、またこれか…」という心理が働いているのかもしれません。
トレーニングの種類と関与度で効果に違いは?「体験型」に光明か
従業員のエンゲージメントが低いという現実はあるものの、それでもトレーニング内容や関与の仕方によって、将来のフィッシングメールへの耐性に違いは生まれるのでしょうか。研究では、この点についてさらに踏み込んだ分析が行われました。ここで示されるオッズ比(OR)は、ある条件に該当する人が、そうでない人と比べて、特定の事象(この場合はフィッシング失敗)を起こす確率が何倍になるかを示す指標です。1より小さければリスクが低く、1より大きければリスクが高いことを意味します。
トレーニングへの関与の仕方と、将来のフィッシングメールでの失敗しやすさとの関連を分析した結果の概要
| モデル内容 (予測対象:将来の失敗) | 全体 | 静的トレーニング | 体験型トレーニング |
|---|---|---|---|
| 1) 過去に少なくとも1回トレーニングを完了 | 0.963 | 1.059 | 0.809* |
| 2) 過去のトレーニング完了回数 (累積) | 1.092* | 1.185* | 0.934 |
| 3) 過去のトレーニング閲覧時間 (累積30秒毎) | 1.008 | 1.046* | 0.995 |
オッズ比が1未満で*(アスタリスク)が付いている場合、失敗する確率が統計的に有意に低いことを示します。オッズ比が1より大きい場合はその逆です。
体験型形式のトレーニング完了者は失敗率が低下
興味深いことに、体験型形式のトレーニングを少なくとも1回「完了」した従業員は、完了しなかった従業員と比較して、その後のフィッシングシミュレーションで失敗する確率が約19%低い(オッズ比0.809)という結果が得られました。これは、インタラクティブな要素、つまり自ら操作したり考えたりするプロセスが学習効果を高めている可能性を示唆しています。ただ見るだけよりも、実際に手を動かす方が身につく、ということかもしれません。
一方で、静的トレーニングの複数回完了は逆効果の可能性も
対照的に、静的なトレーニングを複数回「完了」した従業員は、完了回数が1回増えるごとに、将来失敗する確率が約18.5%上昇する(オッズ比1.185)という、にわかには信じがたい結果も示されました。また、静的なトレーニングに費やした累積時間が長いほど、失敗する確率がわずかに上昇する傾向も見られました。この結果の解釈は難しいですが、特定のタイプの受動的なトレーニングを繰り返し受けることが、かえってユーザーの油断を招いたり、あるいは元々フィッシングに引っかかりやすい特性を持つ従業員が、結果として多くの静的トレーニングを”形式的に”完了しているだけ(自己選択バイアス)の可能性も考えられます。
単純な「時間」や「回数」だけでは測れない、エンゲージメントの質
これらの結果は、単純にトレーニング時間を長くしたり、完了回数を増やしたりするだけでは、必ずしもフィッシング対策としての効果が高まるわけではないことを示しています。むしろ、 どのような種類のトレーニングに、どのように関与するか(エンゲージメントの質) が重要である可能性を示唆しています。形だけの研修ではなく、中身のある学びが求められているのです。
結論:フィッシング対策トレーニングの「次の一手」を考えるために
本記事で紹介した研究結果は、現在多くの企業で実施されている年次セキュリティ意識向上トレーニングや埋め込み型フィッシングトレーニングが、フィッシングリスクを大幅に低減するという点において、実用的な価値は限定的である可能性が高いことを示しています。トレーニングによる失敗率の改善効果はごくわずかであり、おとりの巧妙さや従業員の低いエンゲージメントといった要因が、その効果を打ち消してしまっている現状が見えてきました。
もちろん、これは「トレーニングが全く無意味だ」と断じるものではありません。特にインタラクティブな形式のトレーニングを完了することには一定の効果が見られるなど、改善の糸口も示唆されています。しかし、企業はこれらのトレーニングに過度な期待を抱くべきではなく、その費用対効果を冷静に見極める必要があるでしょう。
今後の対策としては、以下のような視点が重要になると考えられます。
- 技術的対策の強化: 多要素認証の徹底、迷惑メールフィルタの高度化、URLフィルタリングなど、従業員の注意力だけに頼らない技術的な防御策の優先度を高める。「人間は必ず間違える」という前提に立った対策が不可欠です。
- トレーニングの質の向上とエンゲージメント戦略: 単に知識を詰め込むのではなく、従業員が能動的に関与し、実践的なスキルを習得できるような、より効果的なトレーニング手法(例えば、ゲーミフィケーションの導入や、よりパーソナライズされたフィードバック、成功体験を積めるような設計など)を模索する。また、なぜセキュリティが重要なのかという動機付けを高めるアプローチも必要です。「やらされ感」のある研修から脱却しなければなりません。
- 現実的な目標設定と効果測定: トレーニングによって達成可能な目標を現実的に設定し、本研究のような厳密な方法でその効果を継続的に測定・評価していく体制を整える。「やりっぱなし」にしないことが重要です。
フィッシング攻撃との戦いは、依然として続いています。今回の研究結果を真摯に受け止め、より実効性のある対策へと舵を切ることが、企業の情報資産を守る上で不可欠と言えるでしょう。
Webサービスや社内のセキュリティにお困りですか? 弊社のサービス は、開発チームが抱える課題を解決し、生産性と幸福度を向上させるための様々なソリューションを提供しています。ぜひお気軽にご相談ください!
参考資料: