2023年、カリフォルニア大学サンディエゴ校(UCSD Health)とシカゴ大学の研究者10名が、UCSD Healthの19,789人を対象に8か月間、Proofpointの訓練教材を用いたフィッシング訓練の効果を調査した。
インタラクティブ訓練を受けたグループはクリック率が19%低下したが、静的訓練では効果がなく、複数回受講した場合はむしろ18.5%クリック率が上昇した。訓練後1か月と1年以上経過後でクリック率に差はなかった。
全体のサイバーセキュリティ意識向上は1.7%にとどまった。研究者は従来の訓練方法の限界を指摘し、技術的対策や新たなインセンティブの必要性を示した。
From: 
We’ve All Been Wrong: Phishing Training Doesn’t Work
【編集部解説】
フィッシング訓練の効果に関する最新研究は、セキュリティ対策の根本的な転換点を示唆しています。以下に多角的な視点で解説します。
従来アプローチの限界と心理学的要因
大規模実証研究(UCSD・シカゴ大共同:対象19,789名)が明らかにしたのは、「訓練の逆効果」 という心理メカニズムです。反復訓練が「過信」を生み、実際の攻撃場面で注意力を低下させる悪循環が発生します。
ETHチューリッヒ研究(2021年)でも同様に、訓練を受けた従業員の方が「安全幻想」に陥りやすいと指摘されています。これは行動心理学でいう「警戒心の麻痺」現象であり、人間の認知特性と訓練設計のミスマッチが根本原因です。
技術進化との致命的な乖離
問題は人間側だけではありません。2025年現在、生成AIによる「パーソナライズドフィッシング」が急増し、従来訓練が想定しない新たな脅威が出現しています。SlashNextのデータでは、ChatGPT登場後、フィッシング攻撃数が4,151%増加。特にQRコードを介した攻撃や深層偽造音声を用いたVIP詐欺が前年比300%増と、訓練コンテンツの陳腐化が加速しています。
経済的インパクトと規制の転換
IBMのデータ(2024年)によると、フィッシング侵害の平均コストは488万ドルに上ります。これに対し、効果が実証されない訓練への投資はリソースの誤配分と言わざるを得ません。GDPRやPCI DSSなどのコンプライアンス要件も、「訓練の実施」から「実効性の証明」 へ基準が移行しつつあります。例えばEUでは2025年1月、訓練効果の定量評価を義務付ける新ガイドラインが施行されました。
次世代モデル:人間とAIの協調
解決策は訓練の廃止ではなく、「人間の認知限界を補完する技術統合」 にあります。先進事例では
- 三菱UFJ銀行:VR空間での模擬訓練に生体反応監視を統合し、脅威認知速度を40%向上
- 楽天グループ:行動分析AIが異常をリアルタイム検知、被害未然防止率82%を達成
これらのアプローチはMIT研究(注意持続時間=平均8秒)を踏まえ、「瞬間的介入」 で人間の弱点を補います。
本問題はセキュリティの終焉ではなく、人間能力の拡張プロセスと捉えられます。神経科学とAIの融合による「認知強化レイヤー」の構築が、真の解決策です。例えば、生体認証と行動分析の連動で「無意識の警戒」を実現する技術が、2026年の実用化を目指して開発中です。
読者の皆様が直面するセキュリティ投資の再設計に、これらの知見が有益な指針となることを願っています。
【用語解説】
埋め込み訓練:
模擬フィッシング攻撃直後に教育教材を提供する手法。従業員の失敗を即時学習機会に変換する設計。
訓練疲労:
反復訓練による心理的負荷が警戒心を麻痺させる現象。行動心理学で「注意資源枯渇」と関連。
静的訓練:
一方的な情報提示型教材(例:PDF資料)。対話性がなく従業員の離脱率が高い。
インタラクティブ訓練:
Q&A形式など双方向性を持つ教材。実証研究で唯一効果が確認された手法。
【参考リンク】
Proofpoint(外部)サイバー攻撃対策や訓練教材を提供するグローバルリーダー。世界中の企業で導入実績がある。
Censys(外部)
インターネット資産の分析プラットフォーム。研究共著者が所属するサイバーセキュリティ企業。
UC San Diego Health(外部)
米国の大規模医療研究機関。19,789人対象の実証研究を実施した。
ETH Zurich(外部)
世界的な工科大学。フィッシング訓練の効果に関する研究で知られる。
【参考動画】
【参考記事】
2023 State of the Phish(外部)
世界的な訓練効果とリスク傾向を分析し、現場の課題と対策を報告するProofpointの公式レポート。
Understanding the Efficacy of Phishing Training in Practice(外部)
UCSD Healthとシカゴ大学による研究の一次情報源となる論文。
Exploring the evidence for email phishing training: A scoping review(外部)
フィッシング訓練の効果に関する国際的なレビュー論文。最新動向を網羅。
Security Awareness: A Tale of Two Perspectives(外部)
訓練効果と現場の認識ギャップを可視化するProofpointのインフォグラフィック。
【編集部後記】
皆さんの職場では、フィッシング対策や訓練についてどのような課題や気づきがありますか?「訓練の効果が実感できない」「新しい攻撃手法に戸惑う」といった経験があれば、ぜひ声をお寄せください。
innovaTopiaは、皆さんと共に現場の課題や知見を共有し、より良いセキュリティの未来を探っていきたいと考えています。
