標的型メールは見抜くことが難しい。は誤りです

開封率の全国平均値や業界平均値はどれくらい?

比較

標的型メール訓練における「開封率」(何割の従業員が模擬の標的型メールにひっかかってしまったか?)について、

業界の平均値や全国平均値についてまとめた資料はないですか?とか、
何割くらいが平均値なんですか?

といった質問を頂くことがよくあります。

他社が実施している訓練実施サービスでも、他社の開封率と比べて御社の場合は云々、といったコメントがされている事例を目にしたこともあります。

開封率の平均値を知りたがる心理としては、

「ウチはヨソよりも劣っていたりしないだろうか?」
「ウチはヨソと比べてどうなんだろう?」

といった不安感がその根底にあるからだと思います。

もちろん「上から聞かれるので」ということもあるとは思いますが、訓練を実施してとにかく結果は出たけれど、果たしてその結果は良いものだったのか、それとも悪いものだったのか、結果を見ただけでは何とも判断のしようがないので、じゃあ、ヨソ様はどうなんだろう?ということで、開封率の平均値が知りたい。と思うのは、担当者の心理としては自然なことかもしれません。

しかし、開封率の平均値ってどれくらいなの?という答えを求める前に、考えて頂きたいことがあります。

開封率なんて訓練のやり方次第でどうにでも変わるもの。

まず、開封率とは、標的型メール訓練を実施した際に、何割の従業員が模擬の標的型メールにひっかかってしまったか?を表す数値です。

模擬の標的型メールにひっかかった人の割合とはつまり、模擬の標的型メールに添付されたファイルを開いてしまったり、メール本文中に記載されたURLをクリックしてしまったり、といったアクションをしてしまった。という人がどれくらいの割合いたのか?ということなわけですが、この割合は、訓練のやり方次第でどうにでも変わるのだ。ということを知る必要があります。

言い回しが不自然な怪しい日本語で書かれたメールを使った訓練と、流ちょうな日本語で書かれたメールを使った訓練では、当然、前者の方が不審なメールだと気づきやすいので、前者の方が開封率は低くなることが想定されます。

また、セキュリティに詳しい人を対象にした訓練と、セキュリティに疎い人を対象にした訓練では、当然、前者の方が開封率が低くなるだろうと想定されます。

さらには、模擬の標的型メールを送っても、会社が繁忙期で、誰も標的型メールに見向きもしなかった。(無視したり、見落としたりした)となれば、これもまた、開封率が低くなります。

訓練メールの内容、レベル、対象者、実施時期、タイミング、などなど、開封率を左右する要素は幾つもあり、これらの組み合わせ方次第で、開封率はどうにでも変わることは容易に想像がつくと思います。

こうした訓練実施に際しての前提条件を合わせることなく、単純に「開封率」という数値だけを見るのはナンセンスです。

Aさんが砂利道を使って100mを走った記録と、Bさんが競技場のトラックを使って100mを走った記録とを比べて、Bさんの記録の方が良かったから、Bさんの方が速い。と判断するのはナンセンスだという事はすぐにわかると思います。

比較を行うには、比較するもの同士の条件を同じにすることが大前提です。

各社で実施されている標的型メール訓練の実施条件は全く違います。たとえ同じ内容の訓練メールを使っていたとしても、実施時期や組織の規模、パソコンやネットワーク環境の違いなど、様々な点で違いがあるものです。

このことを考えれば、各社で実施した訓練の実施結果をそのまま自社と比較したり、ましてや、各社の開封率を単純に足し合わせて平均値を求めるなどというのは、あまりにも乱暴な話であることに気が付くはずです。

開封率が低くなれば被害に遭う可能性が減ると考えることは間違い

開封率が低いということは、模擬の標的型メールに引っかかった人が少なかった。ということなので、開封率が低ければ低いほど、自社は安全である。と考えてしまいがちです。

このため、訓練を継続的に実施し、回を追うごとに開封率が低くなっていたりすると、自社のセキュリティ教育は効果を上げていると思ってしまう方もいるかもしれません。

しかし、前述の通り、開封率など、訓練のやり方次第でどうにでも変わるものです。開封率に影響を与える要素は無数にあるのに、年に数えるほどしか実施していない訓練の実施結果を基に、自社は安全であると思ってしまうなどというのも、これまた、ナンセンスな話です。

漢字検定で1級を取ったからといって、東大に合格できるなどと考える人は誰もいないはずです。

それと同じで、限られたパターンの訓練から得られた開封率を元に、自社の従業員は標的型メールに対する耐性が向上しているなどと考えるのは、漢字検定の成績が向上しているから、東大に合格する確率が上がっているゾ。と考えるようなものです。

開封率が低くなっているので、自社が標的型メールによる被害に遭う確率は低くなっている。と考えるのは間違っています。

開封率が低くなってきている状況を見て、そう思いたくなる気持ちはわからなくもありませんが、これは数字のマジックであり、開封率という数字がもたらす落とし穴であることに気づいて下さい。

では、開封率は無意味な数値なのか?というと、そんなことはありません。

開封率という数値にも、ちゃんと使いどころがあります。では、どんなところで開封率を使うべきなのか?については、また、別の機会に触れたいと思います。

(Visited 194 times, 11 visits today)
←前の記事へ(
→次の記事へ(
サブコンテンツ