LRM株式会社
定期的な標的型攻撃メール訓練と多様な教育手段で、従業員の報告意識が大幅に向上することが判明
LRM株式会社(本社:兵庫県神戸市、代表取締役:幸松哲也)は、情報セキュリティ教育における標的型攻撃メール訓練の効果を明らかにするため、民間企業および自治体・官公庁に勤務する1,159名の従業員を対象に、標的型攻撃メール訓練(※1)の実施状況と不審メール報告率(※2)に関する実態調査を実施しました。
調査の結果、年間の訓練回数や実施しているセキュリティ教育の種類の増加に伴い不審メール報告率が大幅に向上することが確認され、さらに、外部パートナーによる支援を受けている企業や組織では不審メール報告率が高くなる強い傾向が見られました。
これらの調査結果について、組織の情報セキュリティ教育の効果を一層高め、サイバー攻撃に対する防御力を強化するための指針としてご活用ください。
(※1)標的型攻撃メールを疑似体験して、従業員が不審なメールに気づく力を養う訓練
(※2)訓練メールを受信した従業員のうち、社内窓口に不審なメールとして報告した従業員の割合
■調査背景
近年、サイバー攻撃の脅威は急増しており、その中でも標的型攻撃メール(フィッシングメールやマルウェアを用いて特定の組織を狙う攻撃)は、企業や組織にとって深刻な問題の一つとなっています。
このような攻撃に対抗するため、企業や組織は従業員に対して定期的なセキュリティ教育を実施し、攻撃の早期発見と迅速な報告を促進しています。
LRMでは、企業や組織における標的型攻撃メール訓練の実施回数やセキュリティ教育の内容が、従業員の不審メール報告率に与える影響等を調査しました。
■ 調査概要
調査機関:自社調査
調査方法:オンラインリサーチ
調査対象:以下条件にて対象者を抽出
1)全国20~59歳男女
2)職業:経営者、役員、正社員、公務員
3)情報セキュリティ教育の策定に関与している
調査回答数:1,159名
調査期間:2024年11月6日~2024年11月8日
■結果サマリ
|
項目 |
結果 |
|---|---|
|
標的型攻撃メール訓練回数と不審メール報告率の関係 |
訓練回数が増えるほど報告率が向上する傾向。 訓練を年間4回実施:報告率50%以上を達成した割合は63.2% 訓練を年間1回のみ実施:報告率50%以上を達成した割合は14.5% |
|
セキュリティ教育内容別の不審メール報告率 |
すべて実施(eラーニング + 集合研修 + 標的型攻撃メール訓練):報告率50%以上を達成した割合は41.4% eラーニング + 標的型攻撃メール訓練:報告率50%以上を達成した割合は29% 標的型攻撃メール訓練のみ:報告率50%以上を達成した割合は24.5% |
|
外部パートナー支援の有無が不審メール報告率に与える影響 |
支援を受けている組織:報告率50%以上を達成した割合は42.1% 支援を受けていない組織:報告率50%以上を達成した割合は23.2% |
■標的型攻撃メール訓練における「不審メール報告率」の重要性
標的型攻撃メール訓練において「不審メール報告率」が高い企業や組織は、従業員が不審なメールを適切に認識し、報告する能力が向上したと判断できるため、情報セキュリティに対する意識の高さや適切なセキュリティ体制が構築されていることの証明として捉えることができます。
「不審メール報告率50%以上」とは、標的型攻撃メール訓練を受けた従業員のうち、半数以上が不審なメールを報告した場合を指します。
例えば、100人中50人以上が報告すれば、その組織の報告率は50%以上となります。
4回以上訓練を実施した組織の約半数が不審メール報告50%達成
標的型攻撃メール訓練の回数が増えるほど、不審メール報告率が向上する傾向が見られました。
特に、年間で「4回以上」の訓練を実施した組織では、不審メール報告率50%以上を達成した組織が47.8%に達しており、一方、年間で「1回のみ」の訓練を実施した組織では、不審メール報告率50%以上を達成した割合は14.5%にとどまりました。
-
1回実施の場合:報告率「50%以上」を達成している組織の割合は14.5%
-
4回実施の場合:報告率「50%以上」を達成している組織の割合は47.8%
複数のセキュリティ教育実施が報告率向上に繋がることが判明
標的型攻撃メール訓練における教育内容別の報告率を見ると、「すべて実施」*した組織が最も高い不審メール報告率50%以上(41.4%)を記録しています。
一方、標的型攻撃メール訓練のみを実施している組織では、不審メール報告率50%以上が24.5%にとどまっており、複数の教育方法を組み合わせる方が効果的であることが確認されました。
*「すべて実施」内容:標的型攻撃メール訓練+eラーニング +集合研修を複合して実施
-
複数種類のセキュリティ教育を「すべて実施」した組織では、不審メール報告率50%以上を達成した割合は41.4%となり、高い効果が確認されました。
外部パートナーによる支援を受けた組織で不審メール報告率50%以上が高い傾向
外部パートナーによる支援を受けている組織では、不審メール報告率50%以上の達成割合が高く42.1%を記録している一方で、支援を受けていない組織では不審メール報告率が23.2%と低くなる傾向が見られました。
-
外部パートナーによる支援を受けている組織では、不審メール報告率50%以上を達成した割合が42.1%と高い傾向が見られます。
-
外部パートナーによる支援を受けたことがない組織では、不審メール報告率50%以上を達成した割合は23.2%にとどまっています。
従業員の報告意識を高める鍵は「訓練回数」「セキュリティ教育内容」「外部パートナー」
これらのデータから、標的型攻撃メール訓練を繰り返し実施することが、従業員の不審メール報告意識を向上させる効果的な方法であることが示されました。
また、eラーニングや集合研修、標的型攻撃メール訓練を組み合わせた教育が効果的であることが明らかになっています。
さらに、外部パートナーによる支援が、専門的で効果的な教育を提供し、組織全体のサイバーセキュリティ意識の向上に貢献していることが確認されました。
本調査結果を受けて、企業や組織は以下の対策を講じることが効果的であると考えられます。
-
年間を通じて4~5回程度の標的型攻撃メール訓練を実施すること
年間を通じて複数回の標的型攻撃メール訓練を実施することにより、従業員のリスク認識を継続的に高め、セキュリティ意識を定着させることが重要です。
-
総合的なセキュリティ教育を実施すること
標的型攻撃メール訓練に加え、eラーニングや集合研修をはじめ、様々な種類のセキュリティ教育をを実施することで、より広範なセキュリティ教育を強化し、従業員の意識向上を図ることが求められます。
-
専門知識を有する外部パートナーからの支援を検討すること
専門的な知識を持つ外部パートナーと連携し、より深い理解と効果的な支援を受けることで、組織全体のセキュリティレベルを引き上げ、不審メール報告率のさらなる向上を目指すことができます。
「セキュリオ」なら、効率的なセキュリティ教育が簡単に実現!
セキュリオは、効果的なセキュリティ教育をだれでもかんたんに行うことができるクラウドサービスです。
学習コンテンツに加えて日常的な行動習慣にアプローチできるようなセキュリティ教育に特化した機能など、お悩みに合わせてカスタマイズしながらご利用いただくことが可能です。
担当者の工数をかけることなく、情報セキュリティコンサルタント監修の学習コンテンツで、従業員に正しい知識を身につけていただくことができます。また、定期配信可能なミニテストや標的型攻撃メール訓練の定期配信を通じて、継続的な教育を実現でき、セキュリティリテラシーを確実に向上させることができます。
また、フィッシングメールが届いた時を想定した訓練を行うことができます。メールが届いた際に担当者にいち早く報告できる機能も用意しており、社内のセキュリティ担当者へ報告する習慣づくりも行うことができます。
LRMについて
「Security Diet®」を企業理念に、情報セキュリティに関するプロの知見を提供するとともに、意識の向上から人や組織の行動変容を促すことで、持続可能な情報セキュリティ体制構築と企業価値向上に貢献します。
2,000社を超える導入実績があるセキュリティ教育クラウド「セキュリオ」事業、ならびに年間580社(※)・18年以上の支援実績がある情報セキュリティコンサルティング事業を展開し、日本で一番身近な情報セキュリティ会社となるために日々活動しています。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
会社名:LRM株式会社
本社 :兵庫県神⼾市中央区栄町通1-2-10 読売神⼾ビル5F
代表者:代表取締役 幸松哲也
設⽴ :2006年12⽉
公式サイト :https://www.lrm.jp/
事業 :セキュリティ教育クラウド「セキュリオ」の開発提供、情報セキュリティコンサルティング支援