「ちょっと標的型攻撃メール訓練やってくれない？」と言われたら：誰が為のセキュリティ（1/4 ページ）

標的型攻撃メール訓練の結果を評価する指標に「開封率」と「報告率」がある。多くの訓練で指標として用いられるのは開封率だが、これのみで得られる成果には限界がある。より多くの成果を得られる報告率の重要性について、効果的な訓練計画と合わせて解説する。

[伊藤聡司，みずほ情報総研]

標的型攻撃メール訓練結果の指標ってなんだろう？

　標的型攻撃メール訓練における一般的な指標は、「開封率」と「報告率」だ。いずれの指標も、訓練用の疑似メールを配信し、それを受けた訓練対象者がどう行動したかを集計して算出する。単純なプロセスに思えるかもしれないが、訓練は企業におけるリスク管理部門やCSIRTを担う部門が限られたコスト（予算や人員）の中で計画を立て、実施している。

　開封率は、訓練対象者の中で、メール本文内にあるURLや添付ファイルを開いた人の割合だ。つまり「訓練用のメールに引っかかってしまった人」の割合ともいえる。

　報告率は、訓練内容に応じて2つの意味を持つと筆者は考える。本稿においては以下のように定義したい。

受信報告率：訓練メールを開封せずに「不審なメールの受信を報告した人」の割合

開封報告率：訓練メールを開封した後に「不審なメールの開封を報告した人」の割合

一般的な訓練サービスで得られる開封率の限界

　標的型攻撃メール訓練には、最低限「訓練対象者に訓練メールを送信する仕組み」と、「訓練対象者の行動結果を集計する仕組み」が必要だ。これらは自社で作り込むか、セキュリティベンダーが提供するソリューションを用いることになるだろう。

　ここで訓練担当者が念頭に置くべきなのが、「一般的なセキュリティベンダーの訓練システムで自動的に集計できるのは、多くの場合開封率まで」ということだ。ITの仕組みで提供できるのは、「メールの発信」と「送信したメールが受信されたかの検知」「メール本文のURLや添付されたファイルがクリックされたかの検知」のみである。

　訓練担当者が開封率の結果のみを用いて考察できることは限られ、開封率のみで「自社の訓練の妥当性を評価し、今後の対策を立てる」のは難しいと筆者は考える。なぜならば前述の通り、開封率は「何割が不審なメールの中をクリックしたか」しか分からず、それ以外の「不審メールである事に気付けたか」や「適切な事後対応をできているか」などについては集計できないからだ。

　また、開封率しか集計できない状態で目標を数値化すると、例えば「毎回同一の文面で訓練メールを送り、開封率0％を目指す」といった画一的な訓練に陥る可能性がある。

　従って、訓練の結果から次年度の対策などを立てるために有効なのは報告率だ。