中小企業のフィッシング対策訓練｜情シス1人でも実施できるメール訓練の設計・実施・効果測定ガイド

社員がフィッシングメールを受け取ったとき、あなたの会社は本当に大丈夫ですか？

セキュリティツールをどれだけ揃えても、最後の砦は人です。国内の情報漏洩インシデントのうち、フィッシング起因のものは年々増加しており、特に中小企業では「訓練未実施」が最大のリスク要因になっています。

この記事では、情シス1人体制でも実施できるフィッシング対策訓練の設計から実施・効果測定まで、無料～低コストで始める方法を現場目線で解説します。

フィッシング対策訓練とは？なぜ今すぐ始めるべきか

フィッシング対策訓練（フィッシングシミュレーション）とは、実際のフィッシングメールを模した疑似攻撃メールを社員に送り、リンクをクリックしてしまうかどうかを測定する演習です。

攻撃の成否はほぼ「人」で決まります。SPF・DKIM・DMARCを整備し、EDRを導入しても、社員がURLをクリックして認証情報を入力してしまえばゲームオーバーです。IPA「情報セキュリティ10大脅威 2026」組織編でもフィッシングを起点にした攻撃が上位を占めており、技術対策と並行して人的対策を強化することが急務になっています。

訓練を実施することで得られる主な効果は3つです。
・現状把握: 社員の何割がリンクをクリックするか（引っかかり率）を数値で把握できる
・気づきの醸成: 「自分も引っかかりかけた」という体験が最大の学習機会になる
・経営報告の根拠: 訓練結果を示すことで、セキュリティ投資の必要性を経営層に説明しやすくなる

訓練で使われる手口（敵を知る）

実際に届くフィッシングメールのパターンを知ることで、より効果的な訓練シナリオを設計できます。代表的な手口を防御目的で整理します。

・ブランドなりすまし型: 宅配便・銀行・クラウドサービス（Microsoft 365・Amazonなど）を装い、偽ログイン画面に誘導する
・社内なりすまし型: 経営者や上司を名乗り「至急確認してください」と緊迫感を演出する（BEC攻撃にもつながる）
・添付ファイル型: 請求書・契約書を装ったOfficeファイルやPDFにマルウェアを仕込む
・OAuth同意画面型: 正規のMicrosoft/Googleの同意画面に見せかけ、アプリ権限を奪う（近年急増）

これらの手口の共通点は「緊迫感」「権威」「好奇心」のいずれかを利用して、人の判断を急かすことです。訓練シナリオはこのうち1つの要素を含むものを選ぶと現実的な結果が得られます。

訓練の設計手順

1. 目的と対象者を決める

初回訓練の目的は「現状の引っかかり率の把握」だけで十分です。全社員を対象にするのが理想ですが、50名以上の会社では部門単位で段階的に実施する方法も有効です。

注意点として、訓練は「社員を責める場」ではありません。実施前に経営層の承認を得て、「引っかかっても罰則はない、気づきの機会にする」ことを方針として決めておきましょう。

2. シナリオを選ぶ

初回は「難易度：中」のシナリオから始めることをお勧めします。あまり簡単すぎると現実感がなく、難しすぎるとモチベーション低下につながります。

・初回向けシナリオ例: 宅配便の不在通知 / 社内の共有ファイル更新通知 / Microsoft 365パスワード期限のお知らせ
・2回目以降: 引っかかり率が高かった部門向けにBEC型（社長なりすまし）を追加するなど、段階的に難易度を上げる

3. 無料・低コストツールを選ぶ

情シス1人体制でも運用できるツールを難易度別に整理します。

GoPhishをLinuxサーバーに構築する最小手順は以下の通りです。

# GoPhish のインストール（Ubuntu 22.04 例）
wget https://github.com/gophish/gophish/releases/latest/download/gophish-linux-64bit.zip
unzip gophish-linux-64bit.zip -d /opt/gophish
cd /opt/gophish
chmod +x gophish

# 設定ファイル（config.json）を編集して管理用ポートをローカルにバインド
# デフォルトの 0.0.0.0:3333 は外部公開されるためローカルに変更
# "listen_url": "127.0.0.1:3333" に変更することを推奨

# 起動（初回パスワードが標準出力に表示される）
./gophish

実施フローと結果のフィードバック設計

1. 訓練メールの配信

配信タイミングは「業務が立て込む時間帯」が現実の攻撃に近く、有効な測定になります。例えば月曜の午前10時や、締め処理が集中する月末が代表的です。

配信前に確認すべきポイントです。
・メールフィルターの除外設定: 訓練メールがスパムフォルダに入ると結果が歪む。事前にIPアドレスやドメインをホワイトリスト登録する
・法務・総務への事前説明: 「なりすまし」を含む訓練のため、誤解が生じないよう関係部門に事前周知しておく
・配信リスト管理: 退職者・休職者が含まれていないかを必ず直前に確認する

2. 引っかかった社員へのフォローアップ

訓練リンクをクリックした社員に対しては、即座に「学習ページ」に遷移させる設計にします。GoPhishやAttack Simulatorはこの機能を標準で備えています。

フォローアップ教育の内容は短く、5分以内で読めるものにするのがコツです。長い動画や資料は途中で離脱され、「見た」という事実だけが残って意識改革につながりません。

・フィッシングメールの見分け方（送信者ドメイン・URLホスト名の確認方法）
・不審に思ったら「クリック前にIT部門へ報告する」行動の定着化

3. 全体報告と経営層への共有

訓練終了後に以下の指標を集計し、1ページの報告資料にまとめます。

報告率が低いことは課題ですが、初回からの改善幅を見せることが経営層への説得力になります。「今回のクリック率は32%でした。半年後に10%以下を目標にします」という形で数値目標を設定すると、次回訓練の予算確保もしやすくなります。

中小企業でも今日からできること

ツール導入前に、コストゼロでできる施策があります。

・IPAの「標的型攻撃メール訓練サービス」申込: 独立行政法人IPAが無料で提供している訓練代行サービスがあり、100名以下の組織も利用可能。まずはこれから始める手がある
・「不審メール報告窓口」を作る: セキュリティ専用の社内メールアドレス（例: security@〈自社ドメイン〉）を用意し、「怪しければここに転送」を全社周知するだけで報告文化の種になる
・月1回の実例共有: 社内ニュースやチャットで「最近多いフィッシングの実例」を30秒で読めるレベルで共有する。大げさな研修より継続的な小さな接触の方が記憶に残る
・メールヘッダー確認を習慣化: 特定の部署（経理・人事）向けに「送金依頼や個人情報取得の依頼メールは必ず電話で本人確認」というルールを設ける

よくある誤解と注意点

訓練を検討する際に現場でよく耳にする誤解を整理します。

「1回やれば十分では？」
1回の訓練でクリック率が下がっても、3か月後には元の水準に戻ることが多いです。最低でも年2回（理想は四半期に1回）の継続実施をお勧めします。攻撃手法も進化するため、シナリオも更新が必要です。

「引っかかった社員を特定して注意すれば良い？」
個人を特定して責めることは逆効果です。「報告しやすい雰囲気を作る」ことが目的であり、処罰的な運用はインシデント隠蔽につながります。訓練の結果は個人特定せず部門集計で扱うことを原則とし、事前に社員に周知しておきましょう。

「SPF/DKIMを整備していれば外部からのフィッシングは届かない？」
SPF・DKIM・DMARCは「なりすまし送信」を防ぐ仕組みですが、攻撃者が正規に取得した類似ドメイン（例: micros0ft.com）から送られたメールは通過します。技術対策と人的対策は補完関係にあり、どちらか一方では不十分です。

「中小企業は標的にならない？」
攻撃者はコストパフォーマンスを重視します。セキュリティ対策が手薄な中小企業は、侵害後に大企業へのサプライチェーン攻撃の踏み台として狙われるケースが増えています。「うちには情報がない」という認識自体が危険です。

本記事のまとめ

フィッシング対策訓練に「完成形」はありません。攻撃手法は進化し続けるため、定期的な訓練と教育の繰り返しが唯一の答えです。まずはIPAの無料サービスや社内報告窓口の設置から、今日行動を起こしてみてください。

メールセキュリティの技術的な設定（SPF・DKIM・DMARC）については、中小企業のメールセキュリティ対策もあわせてご参照ください。