サイバー攻撃の手口が年々巧妙化する中、企業が情報資産を守るために欠かせないのは、高性能なシステムだけではありません。最後の砦となるのは、社員一人ひとりが「不審なメールに気づき、正しく行動できるか」というヒューマンスキルです。
今回は、情報セキュリティ研修と標的型攻撃メール訓練を組み合わせ、継続的な改善サイクルの構築を支援した事例をご紹介します。
| 項目 | 内容 |
|---|---|
| 企業 | 株式会社HGCホールディングス |
| 公式サイト | 株式会社HGCホールディングス |
| 参加人数 | 約140名 |
| 実施日 | 2025年10月、2026年2月 |
URLクリック率を1回で半減
2.8% → 1.4%(第1回→第2回比較)
「感覚」から「数字」の経営へ
訓練結果の可視化で、根拠ある改善サイクルが始動
研修→訓練→改善の継続体制
単発施策を脱し、セキュリティ文化の定着へ
1. メールの脅威、社員は本当に気づけている? 情報セキュリティ教育の課題
近年、標的型攻撃メールをはじめとするサイバー攻撃は急増・巧妙化しています。企業の情報資産を守るために社員一人ひとりが不審メールへ適切に対応できるスキルを持つことが、今や経営課題ともいえる状況です。
ご依頼いただいた組織では、情報セキュリティへの問題意識はお持ちでした。しかし、近年のサイバー犯罪の急増を受け、「意識はあっても、実際に社員が対応できるかどうかわからない」という不安が高まっていました。具体的には、次の2つの課題が挙がっていました。
警察庁サイバー警察局:令和7年上半期における サイバー空間をめぐる脅威の情勢等についてhttps://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
① 社員の対応力を確かめる手段がなかった
これまでメール訓練を実施したことがなく、社員が実際に不審メールに気づけるかどうかを客観的に把握できていませんでした。「大丈夫だと思うが、確信が持てない」という状態が続いていました。
② 誤クリック後の「初動対応」が浸透していなかった
不審メールを誤って開封・クリックしてしまった場合に、誰に・どう報告するかという初動対応のルールが整備されておらず、インシデント発生時の対応に不安が残っていました。
2.研修・訓練・分析・改善を一貫してサポート
弊社が提案したのは、「研修→訓練→分析→改善」の一連サイクルを丸ごと設計・伴走するアプローチです。訓練だけを切り出しても行動変容は起きにくい——この前提から、支援の設計を始めました。
3. 「アカウント凍結通知」に2.8%がクリック。訓練メールが明らかにした実態
今回の訓練では、BusinessConnectという架空のサービスから「アカウント凍結通知」を装った模擬フィッシングメールを、全社員に一斉送信しました。リンクをクリックしてしまうと、ウイルスに感染したという表示がパソコン上ででてきます。
株式会社HGCホールディングス
ご担当者様
いつもBusinessConnectをご利用いただき、誠にありがとうございます。
セキュリティチェックにおいて、お客様のアカウントに不審なログインの試行を検知いたしました。
アカウントを保護するため、一時的にサービスの利用を停止させていただきました。
■対象アカウント
・BusinessConnect (プロジェクト管理システム)
■必要なアクション
以下のリンクより本人確認を行い、アカウントの利用制限を解除してください。
24時間以内に手続きが完了しない場合、アカウントは完全に停止される可能性があります。
▼アカウント確認ページ
https://account-verification.biz-connect.com/verify
本メールにお心当たりのない場合は、システム管理者までご連絡ください。
―――――――――――――――――
BusinessConnect サポートセンター
support@businessconnect.co.jp
―――――――――――――――――
結果、31.9%がメールを開封し、そのうち2.8%がURLをクリック。一見低い数字に見えますが、1名でも不審なリンクをクリックしてしまうと、ウイルス感染からサイバー攻撃へとつながります。また、万が一クリックした場合はすぐ上司への報告が必須です。
目標:不審リンクのクリック率0。報告率100%
クリックした方へのアンケートでは、多くが「開封した自覚がない」と回答。さらに、警告画面が表示されていたにもかかわらず、内容を確認せずそのまま操作を続けていたケースも確認されました。
また、URLクリック者のうち不審メールとして報告できたのが、1名のみだったという点も大きな課題です。クリック率2.8%は全社的に見れば低水準ですが、「そもそもクリックしたことに気づいていない」という状況も含まれており、次に取り組むべきテーマが明確になりました。
4. 訓練の結果を、次の行動へ。見えてきた課題から対策を設計する
クリック率の改善に加え、報告行動の定着という新たなテーマが明確になったことを受け、次のステップへの対応方針を整理しました。
再教育・再周知で、知識を行動に変える
訓練後の振り返りとして、不審メールの見抜き方(差出人・件名・文面・URLの確認ポイント)を改めて周知します。あわせて、誤クリックした際の初動フローを社内で再確認し、「いざというとき、迷わず動ける」状態を目指します。報告窓口の明確化も、今後の重点取り組みのひとつです。
次回訓練は、パターンを変えて実施
第2回訓練(2026年2月)では、「請求書通知型」メールを題材に、より多様な攻撃パターンへの対応力を測ります。訓練後のアンケートでは心理要因の分析も行い、「なぜクリックしてしまったか」という背景まで掘り下げることで、より実効性の高い改善につなげていきます。目標はクリック率3%以下・報告率100%です。
「報告できる組織」を、日常から育てる
単発の訓練や研修だけでなく、日常業務の中に安全意識を根付かせる取り組みも並行して進めます。啓発チラシの社内掲示による視覚的な注意喚起、半期に一度のセキュリティ研修の継続実施。これらを組み合わせることで、訓練結果を一過性のものにせず、自然にリスクを回避できる行動習慣の形成を目指します。
5. クリック率が2回の訓練で半減。継続することで見えてきた、確かな手応え
2回の訓練を通じて、URLクリック率は明確な改善傾向を示しました。
| 指標 | 第1回 | 第2回 |
|---|---|---|
| URLクリック率 | 2.8% | 1.4%(▲50%) |
一方、不審メール受信時の報告率やクリック後の初動対応については、引き続き強化の余地があることも可視化されました。「訓練をして終わり」ではなく、結果から課題を整理し、次の打ち手につなげられる状態をつくれたことが、本支援の核心です。
今後は第3回訓練の実施と報告フローの全社浸透を予定しており、「訓練をこなす組織」から「インシデントに自走できる組織」への進化を継続して支援していきます。
担当者様の声
相談先ができることで、以前よりも安心して対応・精度のある効果的な案内ができていると感じております。
またメール訓練や研修により、社内案内を出した時の受取かたなどに少し変化があったように感じております。今後ともお力添えをいただけますと幸いです。
株式会社HGCホールディングス 情報システム部 三次様
