標的型攻撃メールの訓練は、多くの企業で実施が進んでいる定番施策です。しかし実施を続けるほど、「開封率にばらつきが生まれる」という課題を多くの担当者が抱えています。

訓練を実施しても一定以上改善しない場合、原因は受講者の意識だけではありません。開封率という指標そのものの捉え方や、訓練で測れる範囲に限界があることも関係します。

本記事では、標的型攻撃メール訓練の平均的な開封率を確認しながら、開封率をどう評価し、どう改善につなげるとよいのかを解説しています。

国内における業種別、規模別の平均的な開封率について、国内の一時情報として参照しやすい東京商工会議所（以下「東商」と略す）の公表データを基に整理します。

東京商工会議所が会員の中小企業・小規模事業者（従業員300名以下）を対象に実施した訓練では、全体開封率14.9%（1,146名中171名）でした。

さらに、同資料内の内訳を見ると、従業員規模別で7.9%〜17.7%、業種別で9.0%〜32.6%とばらつきがあります。

加えて海外の大規模ベンチマークとしては、KnowBe4の「Phish-prone Percentage（PPP）」がよく参照される傾向です。PPPは「フィッシングに引っかかる可能性のある従業員割合」で、一般にはフィッシング訓練のクリック率に近い指標として説明されています。

ただしPPPは「クリック等の反応」を含む指標で、東商の“開封（=URLクリック）”と完全一致ではないため、あくまで参考レンジとして扱うのが安全です。

出典：東京商工会議所『「標的型攻撃」メール訓練実施結果』

以下は、東商が公表した訓練結果（2025年9月実施、2025年10月公表）の内訳です。ここでの「開封」は前述のとおりURLクリックを開封扱いしています。

従業員数別（従業員300名以下の参加者、n=1,146）

業種別（n=1,146）

引用元：東京商工会議所『「標的型攻撃」メール訓練実施結果』

この結果から読み取れるのは、「業種」や「規模」で一定の傾向差が出やすいことです。

また、対象者数が少ない区分（例：小売業10名）もあります。個別の数値だけで判断せず、自社は過去比較（前年差・四半期差）で改善しているかを優先するのが現実的です。

標的型攻撃メール訓練を継続しているのに、一定以上開封率が下がらないケースは珍しくありません。これは受講者の意識だけでなく、訓練における構造上の限界も関係します。

知識があることと、実務で正しく判断できることは別問題です。例えば、訓練を繰り返すと、受講者はフィッシングの特徴や見分け方といった知識が身につきます。

しかし、実際には業務中に時間的な余裕がなく、内容を吟味する前にメールを開いてしまうことがあります。結果として、頭では分かっていても行動が変わらず、開封率が一定水準から下がりにくくなるのが実情です。

訓練を継続している企業ほど起こりやすいのが、受講者が「訓練に慣れてしまう現象」です。訓練メールの文面や送信タイミングがパターン化すると、「訓練っぽい」と気づかれやすくなります。

一方で、慣れが進むと「どうせ訓練だろう」という油断も生まれがちです。受講者の緊張感が薄れ、真剣に判断しなくなることで、「不審なメールが届いた」との報告意識も薄れます。開封率が低下しなくなるのは、訓練の継続そのものが原因になっている場合も考えられます。

標的型攻撃メール訓練は、開封率だけを追いかけると改善が頭打ちになりやすくなります。訓練の効果を正しく評価するには、訓練で何を変えたいのかを明確にしたうえでの指標設計が必要です。

開封率は分かりやすい一方で、訓練の成果を十分に表しきれません。業務上メールを開くこと自体は避けられないため、開封率だけで判断すると、現場の実態とズレることがあります。

そのため、評価は以下のような「行動変容」に寄せることが重要です。

• 怪しいメールを受け取った際に報告できたか

• リンクをクリックする前に立ち止まれたか

開封率に加えて、報告率やクリック率などの指標を組み合わせると評価の精度が上がります。

訓練は実施して終わりではなく、実施後のフォローが成果を左右します。特に重要なのは、訓練結果を受講者の学びに変えることです。開封してしまった受講者に対して責めるのではなく、どこで判断を誤ったかを振り返れる形式にする必要があります。

また、訓練結果を次回の設計に反映する改善サイクルも欠かせません。誤反応が多い部署やテーマを把握し、シナリオや難易度、実施頻度を調整します。教育と訓練をセットで回すことで、開封率を下げるための要因となります。

標的型攻撃メール訓練は、注意喚起や知識定着の効果が期待できます。しかし、実務の判断力まで変えるには限界があるのも実情です。現場では「忙しさ」「焦り」「確認不足」など、知識とは別の要因が判断を左右します。

結果として、研修や周知を重ねても一定割合の開封率が残る場合があるのが実情です。開封率が下がらないのは、受講者の意識が低いからではなく、知識だけで行動が変わらない構造も、原因の1つです。

開封率が下がらない場合でも、訓練設計を見直すことで改善の余地はあります。ここでは担当者が取り入れやすい具体策を整理します。

開封率を下げるには、訓練メールのシナリオ設計が重要です。文面が単調だったり毎回同じパターンだったりすると、受講者が慣れてしまい訓練としての効果が落ちます。具体的には、件名・送信者名・文体・添付やリンクの種類などを随時変えていき、実務に近い状況を再現します。

また、受講者の業務に近いテーマに寄せることも有効です。例えば総務向けなら請求書、営業向けなら取引先連絡など、職種ごとに想定されるシーンを用意すると当事者意識が高まりやすくなります。リアルに寄せすぎて不安を煽らないよう、社内告知とのバランスも意識するのがおすすめです。

なお、セキュリティ教育の一環として、どう展開していくと形骸化を防げるのか、そのネタについては、以下の記事で詳しくお伝えしています。

訓練は単発よりも、繰り返し実施するほうが効果も期待しやすくなります。ただし、同じ難易度の訓練を繰り返すだけでは慣れが進み、一定数の開封が発生しやすいのも実情です。そこで有効なのが、段階的に難易度を上げる設計です。

例えば、初回は分かりやすい不審メールから始め、次回以降は文面の自然さや送信者の信頼性を高めていきます。さらに、報告行動まで評価に含めることで、単に開封しないだけでなく「気づいて報告する」行動が育ちやすくなります。訓練を継続しながら設計を更新することが、開封率改善の近道です。

開封率が下がらず困っている場合、訓練の設計改善だけでなく、教育手法そのものを見直すことも重要です。そこで選択肢になるのが、体験型教育です。

体験型教育の狙いは、知識の理解ではなく「実務レベルで立ち止まれる判断」を身につけることです。受講者が実際に操作し、判断を選びながら体験できるため、学びが深まりやすくなります。

特に標的型攻撃メールのようなテーマは、誤操作が原因になりやすい領域です。体験型であれば、クリックしてしまったあとに何が起こるのか、どこで気づくべきだったのかまで理解できます。知識を行動に結びつけるための教育として効果が期待できるのが特徴です。

体験型教育は、標的型攻撃メール訓練の代替ではありません。むしろ訓練と組み合わせることで効果が期待しやすくなります。訓練で現状のリスクを可視化し、体験型で判断力を鍛える流れにすると、改善につながりやすくなるのがメリットです。

例えば、訓練で反応してしまった受講者に対して、体験型の学習をフォロー施策として実施するのが有効的です。セキュアプラクティスのようにブラウザ上で誤操作を含めて学べるサービスであれば、運用負荷を抑えながら取り入れやすくなります。

開封率の0％を目指すためにも、次の一手として検討しやすい選択肢です。

標的型攻撃メール訓練の開封率は、組織のリスク状況を把握するうえで有効な指標です。一方で、開封率は定義が統一されていない場合もあり、数値だけを追いかけると改善が頭打ちになりやすくなります。東商で公開している平均値はあくまで参考とし、自社の推移を見ながら評価する視点が重要です。

特に、標的型攻撃メールの訓練をしても、一定数の開封率がある場合、シナリオの工夫や難易度設計に加え、報告率やクリック率などの行動指標も含めて評価する必要があります。

メール訓練で測れる範囲を理解し、実務の判断力を鍛える施策について組み合わせることが、継続的な改善も期待できます。
また、次の一手として体験型教育を取り入れると、「理解したつもり」を防ぎ、行動変容を促しやすくなるのが魅力です。

例えば、セキュアプラクティスのように誤操作を体験しながら学べる体験型教育は、訓練の弱点を補完する選択肢の1つです。訓練と教育を組み合わせ、開封率の改善だけでなく、事故を未然に防ぐ仕組みづくりにつなげてみてください。