標的型攻撃メール訓練の結果を再教育と人事評価に確実につなげてセキュリティリスクを下げる方法
企業のセキュリティ部門が定期的に標的型攻撃メールの訓練を実施しているにもかかわらず、訓練で引っかかった社員が特定されないまま放置され、同じ人が何度もリスク行動を繰り返す。この問題は多くの組織で起きています。原因はシンプルで、訓練結果の記録、再教育の受講履歴、人事評価データがそれぞれ別のシステムに閉じており、データが横断的につながっていないことです。放置すれば、セキュリティ意識の低い社員がそのまま残り続け、内部起因の情報漏洩リスクが高止まりします。
この記事は、従業員100〜1,000名規模の企業で、情報セキュリティ担当を兼務している情シス部門のリーダーや、総務・人事部門で社員教育の管理を担当している方を想定しています。読み終えると、訓練結果から再教育の自動割り当て、人事評価シートへの反映までを一本の流れとして設計できるようになります。大規模エンタープライズ向けのSOC運用設計や、各ツールの網羅的な機能比較は扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、訓練結果の取得から再教育の割り当て、人事評価への反映までの具体的なワークフロー設計図と、各ツールの接続方法が手元に揃います。
Workflow at a glance: 標的型攻撃メール訓練の結果を再教育と人事評価に確実につなげてセキュリティリスクを下げる方法
- Step 1: 訓練を実施し結果データを抽出する (KnowBe4)
- Step 2: 不合格者に再教育コースを自動割り当てする (playse. ラーニング) (学習管理システム(LMS))
- Step 3: 訓練結果と受講履歴を人事評価に反映する (SmartHR) (タレントマネジメントシステム(HCM))
なぜ訓練をやっても組織のセキュリティレベルが上がらないのか
データが3つのシステムに分断されている
標的型攻撃メール訓練の結果は、訓練ツール側に蓄積されます。再教育の受講履歴はLMS(学習管理システム、社員向けのeラーニングを管理する仕組み)に記録されます。そして人事評価のデータは人事システムに格納されています。この3つのシステムは通常、相互にデータを共有していません。
そのため、訓練で不審メールのリンクをクリックしてしまった社員が誰なのかをセキュリティ部門は把握していても、その情報が人事部門やLMS管理者に伝わりません。結果として、再教育が割り当てられず、人事評価にも反映されないまま、同じ社員が次の訓練でも同じ行動を繰り返します。
フォローアップが属人的で継続しない
多くの企業では、訓練後のフォローアップがセキュリティ担当者個人の裁量に委ねられています。担当者がExcelで対象者リストを作り、手動でメールを送り、再教育の受講を口頭で依頼する。この属人的な運用では、担当者の異動や繁忙期に作業が止まり、フォローアップが途切れます。
人事評価との接続がないため行動変容が起きない
セキュリティ教育の受講や訓練結果が人事評価の項目に含まれていない場合、社員にとってリスク行動を改善する動機がありません。訓練に引っかかっても何も起きないのであれば、注意を払う理由がないからです。逆に、訓練結果と再教育の完了状況が評価に反映される仕組みがあれば、社員は自発的にセキュリティ意識を高めるようになります。
重要な考え方:訓練結果を起点にした自動フォローアップの連鎖を作る
この課題を解決するために最も重要なのは、訓練結果の発生を起点として、再教育の割り当てと人事評価への記録が自動的に連鎖する仕組みを作ることです。手動の介在を最小限にすることで、属人性を排除し、フォローアップの抜け漏れを防ぎます。
訓練ツールからデータを自動で取り出す
まず、訓練ツールが持つレポートデータを定期的に外部へ取り出せる状態にします。多くの訓練ツールはCSVエクスポートやAPIを備えています。このデータを中間地点に集約することで、後続の処理を自動化する土台ができます。
再教育の割り当てを条件ベースで自動化する
訓練で不合格となった社員に対して、LMS上で特定のコースを自動的に割り当てます。手動で対象者を選んでコースを割り当てる作業をなくすことで、フォローアップの漏れがゼロになります。
人事評価シートに反映するデータを定期的に渡す
訓練結果と再教育の完了状況を、人事システムの評価項目として参照できる形で渡します。ここは完全自動化が難しいケースもありますが、少なくとも四半期に一度、評価面談の前にデータが揃っている状態を作ることが目標です。
訓練結果を再教育と人事評価につなげる実践ワークフロー
ステップ 1:訓練を実施し結果データを抽出する(KnowBe4)
KnowBe4で標的型攻撃メールの訓練キャンペーンを実施します。訓練完了後、KnowBe4の管理画面からキャンペーンレポートをCSV形式でエクスポートします。このCSVには、社員のメールアドレス、リンクのクリック有無、添付ファイルの開封有無、報告ボタンの押下有無といった行動データが含まれます。
エクスポートの頻度は、訓練の実施サイクルに合わせます。月次で訓練を行っている場合は月次、四半期ごとであれば四半期ごとにCSVを取得します。KnowBe4のReporting APIを利用すれば、この取得作業自体も自動化できます。
担当者はセキュリティ部門の訓練担当者です。CSVを取得したら、次のステップで使うために所定の共有フォルダまたはクラウドストレージに格納します。
ステップ 2:不合格者に再教育コースを自動割り当てする(playse. ラーニング)
ステップ1で取得したCSVデータをもとに、訓練で不合格(リンクをクリックした、添付ファイルを開いたなど)となった社員を特定し、playse. ラーニング上で再教育コースを割り当てます。
playse. ラーニングでは、CSVによる受講者の一括登録とコース割り当てが可能です。不合格者のメールアドレスリストをCSVで整形し、あらかじめ作成しておいたセキュリティ再教育コース(標的型攻撃メールの見分け方、不審メールを受け取った際の対応手順など)に一括で割り当てます。
受講期限は訓練実施日から2週間以内に設定します。期限を過ぎても未受講の社員には、playse. ラーニングの自動リマインド機能で通知が届くように設定しておきます。
担当者はセキュリティ部門の訓練担当者、またはLMS管理を担当する人事・総務部門の担当者です。受講完了のデータはplayse. ラーニングの管理画面からCSVでエクスポートできます。
ステップ 3:訓練結果と受講履歴を人事評価に反映する(SmartHR)
四半期ごとの評価面談の前に、ステップ1の訓練結果とステップ2の再教育受講履歴を統合し、SmartHRの人事評価機能に反映します。
具体的には、以下のデータを社員ごとに整理します。過去四半期の訓練回数と不合格回数、再教育コースの受講完了日、複数回不合格が続いているかどうかのフラグです。このデータをCSVに整形し、SmartHRのカスタム項目として従業員情報に取り込みます。SmartHRの人事評価機能では、評価シートにカスタム項目を参照する欄を設けることができるため、評価者(上長)が面談時にセキュリティ訓練の状況を確認できるようになります。
ここで重要なのは、訓練結果をそのまま減点材料にするのではなく、再教育を完了したかどうかを評価の軸にすることです。訓練で引っかかること自体は誰にでも起こり得ますが、再教育を受けて改善行動を取ったかどうかが、セキュリティ意識の評価として適切です。
担当者は人事部門の評価制度担当者です。セキュリティ部門から受け取ったデータをSmartHRに取り込み、評価シートの設定を更新します。
この組み合わせが機能する理由
KnowBe4:訓練シナリオの豊富さと行動データの粒度
KnowBe4は標的型攻撃メール訓練に特化したプラットフォームで、日本語対応の訓練テンプレートが豊富に用意されています。社員がメールを開封したか、リンクをクリックしたか、添付ファイルを開いたか、報告ボタンを押したかといった行動データを細かく記録できるため、単なる合否だけでなく、どの段階でリスク行動が発生したかを把握できます。
弱みとしては、KnowBe4自体にLMS機能や人事評価との連携機能が組み込まれているものの、日本の人事制度や評価体系に最適化されているわけではない点があります。そのため、再教育と人事評価の部分は日本市場向けの専用ツールを使う方が実務に合います。また、ライセンスはユーザー数に応じた課金のため、全社員を対象にすると費用が大きくなる点は事前に確認が必要です。
playse. ラーニング:日本企業向けの教育コンテンツとCSV連携の手軽さ
playse. ラーニングは日本企業向けに設計されたLMSで、セキュリティ教育を含む既製コンテンツが多数用意されています。自社でオリジナルの教育コンテンツを作成してアップロードすることもできるため、自社の情報セキュリティポリシーに沿った再教育コースを用意できます。
CSV一括登録によるコース割り当てが可能なため、KnowBe4から取得した不合格者リストをそのまま活用できます。自動リマインド機能があるため、未受講者への催促も手動で行う必要がありません。
トレードオフとしては、KnowBe4との直接的なAPI連携は標準では用意されていないため、CSVを介したデータ受け渡しが必要になります。この手動工程は月に1回程度であれば負担は小さいですが、訓練頻度が高い場合はスプレッドシートやRPA(定型作業を自動化するソフトウェア)で整形作業を効率化することを検討してください。
SmartHR:人事評価機能とカスタム項目の柔軟性
SmartHRは日本の人事労務管理で広く使われているクラウド人事システムで、従業員情報のカスタム項目を柔軟に追加できます。訓練結果や再教育の受講状況をカスタム項目として登録し、人事評価シートから参照できるようにすることで、評価者がセキュリティ意識を評価項目の一つとして扱えるようになります。
CSVによる従業員情報の一括更新に対応しているため、四半期ごとにデータを取り込む運用は現実的です。また、SmartHRのAPI(外部システムとデータをやり取りする仕組み)を使えば、将来的にデータ取り込みを自動化することも可能です。
注意点として、SmartHRの人事評価機能はタレントマネジメントプランで提供されるため、労務管理のみのプランを利用している場合はプランの変更が必要です。また、セキュリティ訓練結果を人事評価に反映する運用を始める際は、評価制度の変更として社内での合意形成が必要になります。制度設計の段階で、訓練結果そのものではなく再教育の完了を評価軸にすることを明確にしておくと、社員の納得感が得られやすくなります。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| KnowBe4 | 標的型攻撃メール訓練の実施と行動データの記録・エクスポート | 月額課金 | 2〜4週間(訓練テンプレート選定・社員登録含む) | 日本語テンプレートが豊富。ユーザー数課金のため、対象社員数に応じて費用が変動する。Reporting APIを使えばCSVエクスポートの自動化も可能。 |
| playse. ラーニング | 再教育コースの割り当て・受講管理・リマインド | 月額課金 | 1〜2週間(コース作成・受講者登録含む) | CSV一括登録でコース割り当てが可能。セキュリティ教育の既製コンテンツあり。自社オリジナルコンテンツのアップロードにも対応。 |
| SmartHR | 従業員情報のカスタム項目管理と人事評価シートへの反映 | 月額課金 | 2〜4週間(カスタム項目設計・評価シート設定含む) | 人事評価機能はタレントマネジメントプランで提供。CSV一括更新とAPIによるデータ取り込みに対応。評価制度変更の社内合意形成が別途必要。 |
結論:訓練結果の放置をやめ、再教育と評価の連鎖で行動変容を促す
標的型攻撃メール訓練の効果が出ない最大の原因は、訓練結果が再教育や人事評価につながっていないことです。KnowBe4で取得した行動データをplayse. ラーニングでの再教育割り当てに使い、その結果をSmartHRの人事評価に反映する。この3ステップの連鎖を作ることで、訓練がやりっぱなしにならず、社員の行動変容を促す仕組みが完成します。
最初の一歩として、直近の訓練結果のCSVをエクスポートし、不合格者のリストを作成するところから始めてください。そのリストをもとにLMSで再教育コースを1つ割り当てるだけで、フォローアップの仕組みが動き出します。
Mentioned apps: playse. ラーニング, SmartHR
Related categories: タレントマネジメントシステム(HCM), 学習管理システム(LMS)
Related stack guides: 変革プロジェクトの実績をキャリア評価に直結させ優秀なリーダー人材の離職を防ぐ方法, 女性管理職候補の育成プロセスを可視化し計画的な登用判断につなげる方法, 生成AIのライセンスを必要な社員へ確実に届け無駄なコストと機会損失をなくす方法, データの機密区分とアクセス権限のズレを解消し情報漏洩リスクと監査指摘を未然に防ぐ方法, 教育訓練の受講記録と力量評価の分断を解消し審査で即座に力量適合を証明できる体制をつくる方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
