サイバー攻撃の侵入経路として「メール」は依然としてトップを占めています。IPAの「情報セキュリティ10大脅威 2025」においても、標的型攻撃メールは組織向け脅威の上位にランクインし続けており、技術的対策だけでは防ぎきれない「人的リスク」への対処が急務となっています。本記事では、2026年時点の最新情報をもとに、費用相場から業者選びのポイント、失敗しないための実務的アドバイスまでを体系的に解説します。
標的型メール訓練とは
標的型メール訓練(フィッシングシミュレーション)とは、実際の攻撃者が使うような巧妙なフィッシングメールを疑似的に作成し、自社の従業員に送付することで、「どの従業員がリンクをクリックするか」「添付ファイルを開いてしまうか」を測定し、セキュリティ意識の向上を図る取り組みです。
実施義務と関連ガイドライン
- ISMS(ISO/IEC 27001):附属書AのA.6.3で、全従業員に対する定期的なセキュリティ訓練を要求
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」:従業員等に対するセキュリティ教育・訓練の実施を経営者が取り組むべき重要事項として明記
- 金融庁「金融機関等のサイバーセキュリティに関するガイドライン」:フィッシング攻撃を含む訓練・演習の実施を求める方向
- 医療情報安全管理ガイドライン(厚生労働省):医療機関に対してサイバー攻撃を想定した訓練の実施を推奨
標的型メール訓練の費用相場
従業員規模別の費用目安
従業員規模 | ツール型(年間) | 外部委託型(年間・複数回) | 備考 |
|---|---|---|---|
〜100名 | 10〜30万円 | 30〜100万円 | 単発実施なら15〜40万円も可能 |
100〜500名 | 30〜80万円 | 80〜300万円 | 四半期実施・報告書込みが標準的 |
500名〜 | 80万円〜(ライセンス制) | 200〜800万円以上 | 多拠点・多言語対応で上振れ |
ツール型 vs 外部委託型の違い
ツール型(SaaS)は、クラウド上のプラットフォームにアクセスし、自社でシナリオ設定・送付・レポート確認を行う形式です。コストを抑えられる一方、担当者のリソースが必要です。代表的な製品としてKnowBe4、ProofPoint Security Awareness Training、国内製SAT製品などがあります。
外部委託型は、セキュリティベンダーがシナリオ作成・送付・結果分析・報告書作成・フォロー教育までを一括で担う形式です。担当者の工数を抑えられ、専門的なシナリオや詳細な分析レポートが得られる反面、コストは高めになります。
費用に含まれる内容・含まれない内容
一般的に含まれる内容
- 訓練メールの送付(シナリオ数・回数は契約による)
- 開封率・クリック率・情報入力率の集計
- 結果レポート(サマリーレベル)
- 訓練後の即時フィードバックページ
追加費用が発生しやすい内容
- カスタムシナリオ作成:1シナリオあたり5〜20万円
- 詳細レポート・部署別分析:有償オプションの場合あり
- フォローアップ教育コンテンツ:eラーニング・動画教材は別契約が多い
- 多言語対応:グローバル展開企業向けは追加費用
訓練の種類と選び方
単発実施 vs 継続実施
研究では、訓練を受けた従業員でも約6ヶ月経過すると効果が減衰することが示されています。四半期に1回以上の実施が推奨されており、NIST SP 800-50においても継続的なトレーニングプログラムの重要性が強調されています。
難易度設定の重要性
- レベル1(初級):日本語が不自然、送信元アドレスが明らかに不審なメール
- レベル2(中級):実在するサービスを模したメール、日本語は自然
- レベル3(上級):上司・取引先を偽装したBECメール、社内システム名を含む高度なスピアフィッシング
業種特化シナリオの活用
- 金融業:取引確認メール、口座情報変更依頼、金融庁通知を模したメール
- 製造業:部品発注書、工場設備アラートメール、サプライヤーからの請求書偽装。製造業のセキュリティ対策については当ブログの別記事も参照ください。
- 医療機関:患者情報照会、電子カルテシステムのアップデート通知
訓練の効果測定と成功指標
- 開封率:送付した訓練メールを開封した従業員の割合。業界平均は20〜30%程度。
- クリック率:フィッシングリンクをクリックした従業員の割合。初回訓練では20〜40%に達することも珍しくない。継続訓練で5〜10%以下を目指す。
- 情報入力率:偽サイトにID・パスワード等を入力してしまった従業員の割合。最も深刻なリスク指標。
- 報告率:不審メールとして社内窓口に報告した従業員の割合。この指標の向上が最も重要。
失敗しない業者選び5つのポイント
① シナリオの質と多様性
業種・職種・役職に応じたシナリオが用意されているか確認します。2025〜2026年にかけてAIで生成された自然な日本語のフィッシングメールが急増しており、最新の手口が反映されているかが重要です。
② レポートの詳細度と活用可能性
部門別・時間帯別・デバイス別の分析、リスクスコアリング、前回比較などが含まれるか確認します。ISMSや内部監査の証跡として活用できる形式かどうかも確認点です。
③ フォロー教育との連携
クリックしてしまった従業員に対して、その場でeラーニングを提示したり、フォロー研修を実施する仕組みがあるかどうかを確認します。フォロー教育がセットになっていることが効果的なプログラムの条件です。
④ サポート体制と導入支援
初回設定・メールサーバーのホワイトリスト設定・Active Directoryとの連携など、導入時の技術支援が受けられるか確認します。
⑤ 価格の透明性と契約条件
「初年度のみ安い」「途中解約できない」「人数追加のたびに別見積もり」といった契約上のリスクに注意します。
AEVUSでは標的型メール訓練と従業員教育を組み合わせたサービスを提供しています。詳細は標的型メール訓練サービスページをご覧ください。
2026年のフィッシング訓練トレンド
AI生成フィッシングメールへの対応
2025年以降、生成AIを使った高精度な日本語フィッシングメールが急増しています。従来の「日本語がおかしい」という見破り方だけでは対応できず、訓練でもAI生成シナリオを取り入れているベンダーと従来のテンプレートのみのベンダーとで、訓練の実効性に大きな差が生まれています。
ビジネスチャット経由のフィッシング訓練
Microsoft TeamsやSlack経由のフィッシングが急増しており、「メールだけを訓練していれば十分」という時代は終わりつつあります。2026年時点では「マルチチャネル訓練」を提供するベンダーが増加しており、Teams訓練の対応可否を確認することを推奨します。
音声・SMSを組み合わせた複合訓練
重要な役職(経営幹部・経理担当)に対しては、メール訓練と電話訓練を組み合わせた高難度プログラムを検討する価値があります。SOCとの連携も含めた包括的なセキュリティ体制の整備が、2026年以降の標準的なアプローチとなっています。
よくある質問(FAQ)
Q1. 訓練メールに引っかかった従業員を特定・処罰してよいですか?
A. 標的型メール訓練の目的は「処罰」ではなく「教育」です。引っかかった従業員を個人として特定・公表したり、人事評価に反映することは推奨されません。部門単位の集計・傾向分析を行い、リスクの高い部門に追加教育を行うアプローチが適切です。
Q2. 訓練メールが本物のフィッシングメールと見分けられないのでは?
A. 優良なサービスでは、訓練実施の事前告知を行った上で訓練を実施します。また、訓練後にクリックした従業員への即時フィードバックページを表示することで「今のが訓練だった」と認識させます。
Q3. 小規模企業(50名以下)でも訓練は必要ですか?
A. 必要です。むしろ中小企業はセキュリティ専任担当者が少なく、被害に遭った際の影響が相対的に大きいため、人的対策の重要度が高いと言えます。50名以下であれば、SaaS型ツールを活用した年間10〜20万円程度のプランから始めることができます。
Q4. 訓練は何回実施すれば効果が出ますか?
A. 最低でも年4回(四半期に1回)の実施が推奨されています。初回訓練でクリック率が25%だった組織が、1年間で4回の訓練と教育を組み合わせることで5〜8%まで低下した事例が多数報告されています。詳細はAEVUSの従業員教育サービスもご参照ください。
Q5. 訓練の結果レポートはどのくらいの期間保管すべきですか?
A. ISMS認証やPマークを取得している組織では、訓練記録を3〜5年程度保管することが望ましいとされています。ベンダーのクラウドシステム上にのみデータが保存されるケースでは、定期的にCSV等でエクスポートしておくことを推奨します。
まとめ
- 費用は従業員100名規模で年間30〜100万円が目安。ツール型は10〜30万円、外部委託型は30〜100万円。
- 業者選びは「シナリオの質」「レポートの詳細度」「フォロー教育との連携」「サポート体制」「価格の透明性」の5軸で比較する。
- 2026年以降はAI生成フィッシングやビジネスチャット訓練への対応可否が差別化ポイント。
- 訓練の最終目標は「クリック率を下げる」ことではなく「不審メールを報告できる文化の醸成」にある。
標的型メール訓練の効果測定方法と改善サイクル
標的型メール訓練を実施するだけでは、組織のセキュリティレベルは向上しません。訓練の成果を数値で把握し、教育と再訓練を繰り返すPDCAサイクルを構築することが、継続的なリスク低減につながります。
効果測定の3つの主要指標
- クリック率(Click Rate):訓練メールを受信した従業員のうち、フィッシングリンクをクリックした割合です。初回訓練では20〜40%程度の企業が多く、継続訓練により5%以下を目標とします。
- 報告率(Report Rate):訓練メールを「不審なメール」として情報システム部門やセキュリティチームに報告した従業員の割合です。成熟した組織では30%以上の報告率を目指します。報告率が高まることは、従業員が能動的なセキュリティの担い手になっていることを意味します。
- 開封率(Open Rate):訓練メールを開封した割合です。どのような件名・送信者設定が従業員の注意を引くかを把握するための補助指標として活用できます。
業界別クリック率ベンチマーク
業界 | 初回訓練クリック率(目安) | 継続訓練後の目標値 |
|---|---|---|
金融・保険 | 15〜25% | 3%以下 |
製造業 | 25〜40% | 5%以下 |
医療・福祉 | 30〜45% | 5%以下 |
情報通信・IT | 10〜20% | 2%以下 |
小売・流通 | 30〜50% | 8%以下 |
教育・研究機関 | 25〜40% | 5%以下 |
訓練→測定→教育→再訓練のPDCAサイクル
- Plan(計画):前回の訓練結果を参照し、クリック率が高かった部署・役職・シナリオを特定します。次回の訓練では脆弱性が高い層を重点的に対象とし、実際の攻撃手口(請求書偽装・宅配便不在通知・社内IT通知など)を参考にしたシナリオを設計します。
- Do(実施):計画したシナリオで訓練メールを配信します。事前通知なしの抜き打ち訓練は現実的な効果測定に有利ですが、心理的負荷への配慮も必要です。
- Check(測定・分析):クリック率・報告率・開封率を部署別・役職別・時間帯別に集計します。リスクの高いセグメントを特定し、報告に至った従業員の行動パターンも分析して成功事例として横展開できる要素を抽出します。
- Act(教育・改善):クリックした従業員には、クリック直後にフィッシングメールの見分け方を説明するeラーニングを表示する「即時フィードバック」が効果的です。次回訓練のシナリオには今回引っかかった手口の変形版を採用することで、学習効果を持続させます。
訓練失敗事例と改善策
失敗事例1:従業員がゲームと気づかず士気が低下する
訓練後のフィードバックが「あなたはだまされました」という一方的な通知のみで終わった場合、従業員は監視されているという不信感や失敗を恥じる感情を抱くことがあります。特に訓練の目的や意義を事前に共有していない組織では、結果として情報共有や報告を避ける萎縮効果が生じることがあります。改善策:訓練開始前に「フィッシング攻撃対策の一環として訓練を実施すること」「結果は個人の評価には使用しないこと」「目的はスキル向上にある」という点を全従業員に周知します。クリック後のフィードバック画面では責める表現を避け、教育的なトーンで記述します。
失敗事例2:役員・管理職が訓練から除外されて形骸化する
「役員に訓練メールを送るのは失礼」という判断から、訓練対象を一般社員のみに限定するケースがあります。しかし実際の攻撃では、権限を持つ役員こそが標的になりやすく(ビジネスメール詐欺:BEC)、役員を除外した訓練は組織全体のリスク評価として不完全です。改善策:役員・管理職を含む全従業員を訓練対象とすることを方針として明文化します。役員向けにはBEC(なりすまし送金詐欺)や取引先偽装など実際の役員が受けやすいシナリオを別途設計します。
失敗事例3:メール文が単純すぎて現実的な訓練効果が得られない
「パスワードを今すぐリセットしてください」のような明らかにフィッシングとわかる文面で訓練を行うと、クリック率が著しく低くなります。これは訓練効果の改善ではなく問題の単純化にすぎません。実際の攻撃では正規サービスのロゴや取引先の名前を使った精巧な文面が使われており、このギャップが実際のインシデント時のリスクになります。改善策:シナリオの難易度を段階的に設定し、訓練を重ねるごとにリアリティの高い文面(取引先になりすました請求書、社内システムからの通知)に切り替えます。少なくとも年2回は新しいシナリオに入れ替える運用を推奨します。
失敗事例4:訓練結果を報告書として提出して終わりにしてしまう
訓練後に集計レポートを作成し情報システム部門が保管するだけで、その後のフォローアップが行われないケースがあります。このような運用では、訓練はコンプライアンス上の「実績作り」になってしまいます。改善策:訓練結果に基づくアクションプランを必ず策定します。クリック率が高い部署には集合研修または個別eラーニングを実施し、その完了率もKPIとして管理します。
失敗事例5:訓練頻度が低すぎて学習効果が持続しない
年1回の訓練のみを実施している組織では、翌年の訓練時には前回の記憶が薄れており、クリック率が改善しないケースが散見されます。改善策:最低でも年2回、理想的には四半期に1回の訓練実施を推奨します。訓練の間隔が空く場合は、不審メールの見分け方に関するセキュリティニュースレターの配信など訓練以外の接触機会を設けることで学習効果を維持します。
標的型メール訓練ベンダー比較と選定基準
主要選定基準
- 日本語シナリオの充実度:国内の攻撃トレンドに即した日本語テンプレートの数と、定期的な更新体制があるかを確認します
- 管理画面の使いやすさ:訓練の設定・実行・レポート確認をすべて管理画面で行えるか、非IT担当者でも操作できるUIかを評価します
- レポートの品質:部署別・役職別・時系列での集計が可能か、経営層向けのエグゼクティブサマリー出力機能があるかを確認します
- 価格帯と契約形態:ユーザー数課金・訓練回数課金・年間定額など契約モデルが異なります。小規模企業向けのプランがあるかも確認が必要です
- サポート体制:国内にサポート窓口があるか、日本語での問い合わせ対応が可能か、導入支援やシナリオ設計の相談に乗ってもらえるかを評価します
ベンダー名 | 日本語シナリオ | 価格帯(目安) | サポート体制 | 特徴 |
|---|---|---|---|---|
KnowBe4(日本法人) | 1,000件以上のテンプレート、日本語対応多数 | 100名で年間60万〜120万円程度 | 国内パートナー経由、日本語対応可能 | 大規模企業向けの機能が充実。脅威インテリジェンスとの連携が強み |
Proofpoint Security Awareness | 実際の攻撃ベースのシナリオ、日本語対応あり | エンタープライズ向け(数百名以上が前提) | 国内拠点あり、手厚いサポート | 脅威分析との統合レポートが強み。詳細な行動分析が可能 |
Sophos Phish Threat | 日本語シナリオを含む多言語対応 | 50名で年間30万〜60万円程度 | 国内パートナー網が充実 | 既存Sophos製品との連携がスムーズ。中小企業向けプランあり |
LAC(標的型メール訓練) | 国内脅威情報に基づく完全日本語対応シナリオ | 中規模以上が中心、個別見積もり | 国内SOC連携、インシデント対応相談まで対応 | シンプルな管理画面。日本語レポートで経営報告に活用しやすい |
NRIセキュアテクノロジーズ | 国内金融・製造業向けシナリオが充実 | 大企業・官公庁向け、コンサル型 | 担当コンサルタントによる伴走支援 | 業種特化型の提案が可能。経営層向け説明資料も対応 |
ベンダー選定は価格だけでなく、自社の運用体制と担当者のITスキルレベルに合った管理画面の使いやすさ、日本語シナリオの質を重視することが、長期的に見て費用対効果の高い選択につながります。複数ベンダーから見積もりを取得し、実際のデモを比較したうえで意思決定することが望ましいです。
