フィッシング訓練の結果を個人別の教育サイクルに直結させ再クリック率を下げる方法
多くの企業がフィッシング訓練を実施していますが、訓練メールを開封・クリックした社員を特定できても、その後の教育が一律のeラーニング受講で終わってしまい、同じ社員が何度も引っかかるという状況が繰り返されています。訓練結果と教育履歴がつながっていないことが根本原因であり、高リスク社員に重点的な教育を届けられないまま、組織全体のセキュリティレベルが停滞してしまいます。
この記事は、従業員50〜500名規模の企業で、情報システム部門や総務部門がセキュリティ教育を兼務しているご担当者を想定しています。読み終えると、フィッシング訓練の結果から個人別リスクスコアを算出し、リスクに応じた教育コンテンツを自動配信し、理解度の変化を定点観測する一連のワークフローを自社で構築できるようになります。なお、大規模エンタープライズ向けのSOC運用設計や、各ツールの網羅的な機能比較は扱いません。
本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、フィッシング訓練の結果を起点に高リスク社員を自動抽出し、個別教育を配信し、理解度の変化をダッシュボードで追跡する運用サイクルの設計図が手元に揃います。
Workflow at a glance: フィッシング訓練の結果を個人別の教育サイクルに直結させ再クリック率を下げる方法
- Step 1: フィッシング訓練を実施し個人別クリックデータを抽出する (KnowBe4)
- Step 2: リスクスコアを算出し、スコアに応じた教育コースを自動配信する (learningBOX) (学習管理システム(LMS))
- Step 3: 意識調査を実施しリスクスコアの変化を追跡する (Google Forms) (フォーム作成)
なぜフィッシング訓練の結果が教育改善につながらないのか
訓練結果・教育履歴・意識調査が別々のシステムに閉じている
フィッシング訓練の結果はセキュリティツール側に、eラーニングの受講履歴はLMS側に、セキュリティ意識のアンケート結果はまた別のフォームやExcelに保存されています。この3つのデータが社員IDで紐づいていないため、ある社員が訓練で3回連続クリックしているのに教育を1度も受けていないという事実を、誰も把握できません。
一律配信の教育では行動が変わらない
訓練後に全社員へ同じeラーニングを配信するだけでは、すでに理解している社員には時間の無駄になり、本当にリスクの高い社員には内容が不足します。結果として、高リスク社員の行動変容が起きず、次回の訓練でも同じ人がクリックするという悪循環が続きます。
リスクの可視化ができないと経営層への説明もできない
セキュリティ教育の効果を経営層に報告する際、訓練のクリック率だけでは改善の実態を示せません。個人別のリスク推移や教育後の理解度変化を数値で示せなければ、予算確保や施策の優先度判断も根拠のないものになります。
重要な考え方:訓練結果を起点に個人別リスクスコアを作り、教育配信と効果測定を1本のパイプラインでつなぐ
リスクスコアという共通言語を作る
フィッシング訓練のクリック回数、教育の受講完了率、意識調査の回答傾向を1つのスコアに集約することで、誰がどの程度リスクが高いかを定量的に判断できるようになります。スコアの算出ロジックは複雑にする必要はありません。たとえば、直近3回の訓練でクリックした回数に重みをつけ、教育完了で減点、意識調査の正答率で加減するだけで十分に機能します。
教育はリスクレベルに応じて自動で出し分ける
リスクスコアが高い社員には追加の教育コンテンツを自動配信し、中程度の社員には標準コース、低リスクの社員には四半期ごとの確認テストのみという形で出し分けます。手動で対象者リストを作成していては運用が続かないため、スコアに基づく自動振り分けが鍵になります。
効果測定は訓練と教育のサイクルで回す
教育を配信して終わりではなく、次回の訓練結果でスコアが改善したかを確認し、改善しなければ教育内容や頻度を見直すというサイクルを四半期単位で回します。この継続的な改善サイクルこそが、組織全体のセキュリティレベルを底上げする唯一の方法です。
訓練結果から教育配信・効果測定までを回す実践ワークフロー
ステップ 1:フィッシング訓練を実施し個人別クリックデータを抽出する(KnowBe4)
四半期に1回、KnowBe4でフィッシング訓練キャンペーンを実施します。訓練メールのテンプレートは、実際に国内で流通している手口(宅配不在通知、請求書送付、パスワード期限切れなど)を選びます。
訓練完了後、KnowBe4の管理画面からユーザーごとのレポートをCSV形式でエクスポートします。このCSVには、社員のメールアドレス、開封有無、リンククリック有無、添付ファイル開封有無、報告ボタン押下有無が含まれます。
担当者はこのCSVを次のステップで使うため、社員番号との紐づけ列を追加します。多くの企業ではメールアドレスから社員番号を逆引きできるため、VLOOKUPやINDEX/MATCHで十分対応できます。この作業は1回あたり30分程度です。
ステップ 2:リスクスコアを算出し、スコアに応じた教育コースを自動配信する(learningBOX)
ステップ1で作成した社員別クリックデータのCSVをもとに、リスクスコアを算出します。スコアの計算はスプレッドシート上で行います。FitGapでは以下のようなシンプルな計算式を推奨します。
リスクスコア =(直近3回の訓練クリック回数 × 10)+(教育未完了コース数 × 5)−(意識調査正答率 × 0.3)
スコアが30以上を高リスク、15〜29を中リスク、14以下を低リスクとして3段階に分類します。
learningBOXでは、グループ機能を使ってリスクレベル別のグループを作成し、それぞれに異なる教育コースを割り当てます。高リスク社員には、フィッシング手口の見分け方を実例付きで学ぶ動画コース+確認テスト+2週間後の再テストを配信します。中リスク社員には標準的なセキュリティ基礎コース+確認テストを配信します。低リスク社員には四半期ごとの簡易確認テストのみを配信します。
learningBOXのCSV一括登録機能を使えば、社員のグループ振り分けとコース割り当てを一括で処理できます。手動でひとりずつ設定する必要はありません。教育コースの受講期限は訓練実施日から3週間以内に設定し、未受講者にはlearningBOXの自動リマインド機能で通知を送ります。
ステップ 3:意識調査を実施しリスクスコアの変化を追跡する(Google Forms)
教育コースの受講期限が過ぎた翌週に、Google Formsでセキュリティ意識調査を全社員に配信します。調査は10問程度の選択式で、フィッシングメールの見分け方、不審なURLの判別、社内報告フローの理解度を問います。
Google Formsの回答はGoogleスプレッドシートに自動で蓄積されるため、ステップ2で使ったリスクスコア算出シートと同じファイル内に回答データを取り込みます。これにより、訓練クリックデータ、教育受講履歴、意識調査の回答が1つのスプレッドシート上で社員番号をキーに統合されます。
統合データをもとにリスクスコアを再計算し、前回スコアとの差分を確認します。スコアが改善した社員、横ばいの社員、悪化した社員をそれぞれ色分けして可視化します。この結果は、次回の訓練キャンペーン設計と教育コース改善のインプットになります。
四半期ごとにこのサイクルを回すことで、高リスク社員の人数推移や組織全体のスコア平均値を時系列で追跡でき、経営層への報告資料としても活用できます。
この組み合わせが機能する理由
KnowBe4:訓練データの粒度と手口テンプレートの豊富さ
KnowBe4はフィッシング訓練に特化したプラットフォームであり、日本語対応のテンプレートが豊富に用意されています。社員ごとの開封・クリック・報告の行動データをCSVで細かくエクスポートできるため、後続の分析に必要な粒度のデータを確実に取得できます。
一方で、KnowBe4自体にもLMS機能が内蔵されていますが、既存のeラーニング資産や自社独自の教育コンテンツを柔軟に組み込みたい場合には、外部LMSと組み合わせるほうが運用の自由度が高くなります。また、KnowBe4のライセンスはユーザー数に応じた課金のため、全社員分のコストが発生する点は事前に確認が必要です。
learningBOX:日本語UIとCSV一括操作による運用負荷の低さ
learningBOXは日本製のLMSで、管理画面が完全に日本語化されており、ITリテラシーが高くない担当者でも操作に迷いにくい設計です。CSV一括登録でグループ分けとコース割り当てを一度に処理できるため、四半期ごとの運用でも作業時間を抑えられます。
教育コンテンツは動画、スライド、テスト形式など多様な形式に対応しており、自社で作成した資料をそのままアップロードして教材化できます。ただし、KnowBe4との直接的なAPI連携は標準では用意されていないため、データの受け渡しはCSVを介した手動連携になります。この手動工程が運用のボトルネックになり得るため、社員数が500名を超える場合はiPaaS(異なるサービス同士を自動でつなぐ仲介ツール)の導入を検討する価値があります。
Google Forms:追加コストゼロで意識調査と集計を完結できる
Google Formsは無料で利用でき、回答データがGoogleスプレッドシートに自動連携されるため、集計作業の手間がほぼかかりません。選択式の設問であれば回答の正誤判定も自動化でき、意識調査の実施から集計までを1時間以内に完了できます。
制約として、Google Formsには高度な分岐ロジックや条件付き配信の機能が限られているため、社員のリスクレベルに応じて設問を出し分けるといった運用には向きません。全社員に同一の設問を配信し、回答結果をスプレッドシート側で分析するという割り切りが必要です。また、Google Workspaceを導入していない企業では、Microsoft Formsなど同等のツールで代替できます。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| KnowBe4 | フィッシング訓練の実施と社員別クリックデータの取得 | 月額課金 | 2〜4週間 | 日本語テンプレートの選定と社員メールアドレスの一括登録が初期セットアップの中心。訓練頻度は四半期に1回を推奨。 |
| learningBOX | リスクレベル別の教育コース配信と受講履歴の管理 | 月額課金 | 1〜2週間 | CSV一括登録でグループ分けとコース割り当てを処理。自社作成の教育コンテンツをアップロードして教材化する。 |
| Google Forms | セキュリティ意識調査の配信と回答データの自動集計 | 無料枠あり | 1日 | Googleスプレッドシートとの自動連携で集計工数を最小化。Google Workspace未導入の場合はMicrosoft Formsで代替可能。 |
結論:訓練データと教育履歴を社員番号でつなぎ、四半期サイクルで回す
フィッシング訓練の結果を教育改善に活かせない根本原因は、訓練データ・教育履歴・意識調査が別々のシステムに閉じていることです。この3つのデータを社員番号をキーにスプレッドシート上で統合し、リスクスコアという共通指標を作ることで、高リスク社員への重点教育と効果測定の自動化が実現します。
最初の一歩として、直近のフィッシング訓練結果のCSVをダウンロードし、社員番号を紐づける列を追加するところから始めてください。この30分の作業が、訓練と教育をつなぐパイプラインの起点になります。
Mentioned apps: learningBOX, Googleフォーム
Related categories: フォーム作成, 学習管理システム(LMS)
Related stack guides: 個人情報の取得経路と同意記録を一元管理し利用目的外の使用リスクをなくす方法, 拠点ごとの排出データ収集を自動化し月次モニタリングの遅延と異常値の見逃しを防ぐ方法, 標的型攻撃メール訓練の結果を再教育と人事評価に確実につなげてセキュリティリスクを下げる方法, 入社前研修の受講状況を配属先と自動連携し配属初日から的確なOJT計画を立てる方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
