フィッシング・シミュレーションの学習効果を最大化する方法

サイバーセキュリティ管理者として、組織全体に対して教育を行うという重要な役割を担っている皆さんは、非常に大きな課題に直面しています。あなたの使命は、従業員にフィッシングの脅威と、サイバー犯罪者がますます巧妙化させている手口について理解させることです。では、どこから始めればよいのでしょうか？

この20年間、一般的に推奨されてきた教育方法は、2段階のアプローチです。まず、サイバーセキュリティの基本的な概念を説明するトレーニングを実施します。次に、そのトレーニングの効果を高精度なシミュレーションによって検証します。

とはいえ、この方法に20年も頼り続けてきた今、本当に効果があるのかどうか、疑問を持つのは当然のことです。何が効果的なのか？どんな条件で最も良い成果が得られるのか？――そんな問いが浮かんできます。

初期の研究室や実際の現場での調査では、サイバーセキュリティトレーニングとフィッシングシミュレーションが専門知識のない人々に対して有効であることが示されていました（ Kumaraguru et al. 2007）。最近行われた大規模な実地評価では、異なる結果が明らかになっています。大規模なサンプル数を用い、ランダムな割り当てと対照群を設定したこれらの研究では、年に一度のトレーニングやフィッシング対策プログラムの効果がほぼゼロであることが示されました（Lain et al., 2022； Ho et al., 2025）。この違いは、どのように説明できるのでしょうか？

よくある説明としては、研究室で得られた成果が、現実の職場環境ではうまく再現されないというものです。実験室では条件が整えられており、実際の職場に存在する複雑な要素が排除されているためです。この説明には一定の説得力がありますが、表面的な理解にとどまっており、問題の本質には迫っていません。実際には、もっと複雑で、そして非常に興味深い背景があるのです。

このブログでは、年次のサイバーセキュリティ意識向上トレーニングとフィッシング対策プログラムの効果を検証した最新の研究結果を紹介します。そして、認知科学や学習科学の視点からその結果を読み解くことで、これらの成果が驚くべきものではなく、むしろ予測可能であった理由を明らかにします。最後に、今後どのように取り組むべきかについて、実践的なアドバイスをお届けします。
 

基礎的な構成要素の評価

「フィッシング・トレーニングの有効性を実際に理解する (Understanding the Efficacy of Phishing Training in Practice)」という記事の中で、著者らはサイバーセキュリティ意識向上とトレーニングの2つの基本的な構成要素を評価しています。それが以下の2点です：

1. 年次サイバーセキュリティ意識向上トレーニング：このトレーニングは、サイバーセキュリティに関するさまざまな概念を解説する一連のオンライン動画で構成されています。動画では、フィッシングとは何か、どのような点に注意すべきか、どうやって報告するか、そして詐欺に引っかかった場合の影響などが取り上げられます。通常、トレーニングは年に一度、従業員の入社記念日に実施されます。
2. 組み込み型のアンチフィッシングトレーニング演習：これらの演習は、学習者が模擬フィッシングメールのリンクをクリックした後に実施されます。

それでは、これらの構成要素をそれぞれ詳しく見ていきましょう。
 

1: 年次サイバーセキュリティ意識向上トレーニング

認知科学の理論や実証的な知見に基づくと、年次トレーニングによってクリック率がわずか1.7%しか減少しないという結果（Ho et al., 2025; p. 9）は、驚くべきことではありません。その理由は2つあります。

まず、私たちは「忘れること」が避けられない現象であることを知っています。実際、忘却は記憶の中で非常に一般的かつ規則的なプロセスであり、認知科学者たちは、初回学習から一定期間後に情報を覚えている確率を計算する数学モデルを構築しています。これは「忘却のべき乗則」と呼ばれ、さまざまな分野において広く適用されています（Anderson & Schooler, 1991）、サイバーセキュリティトレーニングも例外ではありません（ Reinheimer et al., 2020）。この法則によれば、個人は30日後に学習した情報の約78.7%を忘れるとされています。

次に、動画を視聴するだけの学習は、問題解決や知識の応用といった他の学習活動が伴わない限り、浅い理解にとどまることが分かっています。多くの実験では、動画視聴や教科書の読解のみを行うグループは、他の形式の指導を受けたグループに比べて、学習成果が著しく低い傾向があります。

例えば、以下の研究室実験（ Chi, Roy, & Hausmann, 2008）では、学生たちは以下の5つの条件のいずれかで初級物理問題の解法を学びました：

1. マンツーマンの人間による指導
2. 指導の様子を一緒に動画で視聴
3. 一緒に問題解決（動画なし、テキストのみ）
4. 動画を一人で視聴
5. 一人で学習（動画なし、テキストのみ）

物理問題のより難しい側面に取り組む際、単独で学習した学生と動画を一人で視聴した学生の間に有意な差は見られませんでした。両グループとも、他の3つの条件（ピアや人間の指導者との協働）に比べて、学習成果が著しく低かったのです（図1参照）。

これは、サイバーセキュリティトレーニングの研究とも一致しており、年次の動画ベースのセッションが、問題解決やインタラクティブな要素を伴わない場合、意味のある学習成果を生み出すことがほとんどないことを示しています。

このデータが示す重要なポイントは、関係性、メンタリング、質問する機会が効果的な学習に不可欠であるということです。これらの要素は、理解を深め、スキルを育成するために重要であり、企業活動だけでなく、重要なライフスキルの教育にも欠かせません。
 

図1. マンツーマン指導、共同観察、共同作業は、単独での観察や学習よりも統計的に有意な学習成果をもたらす
 

2: 組み込み型のアンチフィッシングトレーニング演習

学習者が模擬フィッシングキャンペーンのリンクをクリックし、フィッシングに失敗すると、ブラウザは「教育可能な瞬間（Teachable moment））」と呼ばれるページを表示します。著者らの研究では、この教育可能な瞬間のデザインを実験的に変更しました。対照群に加え、プルーフポイントのZenGuide™シミュレーションプラットフォームから取得した4種類のデザインが使用されました。

学習者が模擬フィッシングに失敗した後に表示される内容は、以下のいずれかでした：

1. コントロールメッセージ： 404エラーページに誘導され、トレーニングは一切提供されません。
2. 一般的な静的メッセージ： 未知のメッセージを受け取った際に注意すべき5つの特徴について、一般的なアドバイスのみが表示されます。「静的」とは、ユーザーがただ読むだけの形式です。
3. 文脈付き静的メッセージ： 静的メッセージではありますが、模擬フィッシングキャンペーンで使用された元のメールがページに埋め込まれており、NISTが「手がかり（cues）」と呼ぶインジケーターが付けられています。プルーフポイントではこれらを「Phish Hooks」と呼んでいます。
4. 一般的なインタラクティブ演習： メッセージを読むだけでなく、学習者は教育可能な瞬間を見ながら一連の質問に答える必要があります。表示されるメールは一般的なサンプルで、特別なマークアップはされていません。
5. 文脈付きインタラクティブ演習：前述の形式と同様に、学習者は質問に答える必要がありますが、今回は実際に自分の受信箱に届いたメールが表示されます。さらに、Phish Hooksによって注意すべきポイントが明示されています。

著者らは、これらの教育的介入を受けたのは模擬フィッシングに失敗した学習者のみであり、成功した学習者には追加の指導は行われなかったことを明記しています。

では、結果はどうだったのでしょうか？全体として、対照群と比較してフィッシング失敗率が9.5%減少しました（p. 9）。しかし、最も効果的だった教育可能な瞬間――文脈付きインタラクティブ演習（Phish Hooks）――に注目すると、その効果は19%の減少にまで跳ね上がりました。この大幅な改善は、学習者がサイバーセキュリティトレーニングを完了していた場合にのみ見られました（p. 12）。この点については次のセクションで詳しく取り上げます。年次トレーニングとシミュレーションの両方が重要であることを示しています。

認知科学の観点から見て、これらの結果は驚くべきものなのでしょうか？答えは、やはり「いいえ」です。直感的にも、私たちは「実際にやってみること」が学習において重要だと理解しています。自転車の乗り方をYouTube動画で見るのと、実際に空いている駐車場で自転車に乗ってみて、転びながら覚えるのとでは、まったく違います。

この直感は、データによっても裏付けられています。カーネギーメロン大学が提供するオンラインコースで行われた研究では、問題解決型の指導など、インタラクティブな学習体験に積極的に参加した学生は、動画を見たり教材を読むだけの学生よりも、成績が良かったことが分かりました。さらに、コースに費やした時間も10〜20%短縮されていました（Carvalho, McLaughlin, Koedinger, 2017； Koedinger et al., 2015）。このオンライン学習での結果は、実際のサイバーセキュリティトレーニングでも同様に見られます。学習体験をよりインタラクティブにすることで、より良い成果が期待できるのです（ Chi & Wylie, 2014）。
 

今後に向けて：文脈に応じたインタラクティブ学習はいつ使うべきか？

文脈に応じたインタラクティブな学習の瞬間を活用する際には、タイミングが非常に重要です。評価直後にすぐ実施するのが理にかなっているように思えるかもしれませんが、この方法には2つの大きな問題があります。

1. 指標の信頼性：即時フィードバックを行うと、従業員に「テストが行われている」という認識を与えてしまう可能性があります。その結果、社内で情報が広まり、従業員同士がシミュレーションの実施を知らせ合うことになりかねません。こうした干渉は評価の妥当性を損ない、実際の状況で誰が被害に遭う可能性があるかを正確に測定することが難しくなります。
2. 感情的な干渉：即時フィードバックは、いわゆる「扁桃体ハイジャック（amygdala hijack）」と呼ばれるストレス反応を引き起こすことがあります。従業員が「見つかった」ことによる恥や不安に意識を向けてしまうと、学ぶべき内容を十分に吸収・定着させることが難しくなります。失敗に対する感情的な反応が、教育の機会をかき消してしまうのです。

そのため、評価に失敗した後、24時間以内にインタラクティブな学習の瞬間を提供することを推奨します。このタイミングであれば、以下のようなメリットがあります。

• 従業員が感情的なストレスを伴わずに出来事を冷静に振り返る時間を確保できます。
• 教育の瞬間が、真の学習機会として活かされ、即時の感情反応に左右されることがありません。
• 評価指標の信頼性が保たれ、組織が自らの脆弱性をより正確に把握できるようになります。

このアプローチは、タイムリーな教育と効果的な評価のバランスを取るための最適な方法です。

 

参考文献

Anderson, J. R., & Schooler, L. J. (1991). Reflections of the environment in memory. Psychological science, 2(6), 396-408.

Carvalho, P. F., McLaughlin, E. A., & Koedinger, K. (2017). Is there an explicit learning bias? Students beliefs, behaviors and learning outcomes. In CogSci.

Chi, Michelene TH, Marguerite Roy, and Robert GM Hausmann. "Observing tutorial dialogues collaboratively: Insights about human tutoring effectiveness from vicarious learning." Cognitive science 32.2 (2008): 301-341.

Chi, M. T., & Wylie, R. (2014). The ICAP framework: Linking cognitive engagement to active learning outcomes. Educational psychologist, 49(4), 219-243.

G. Ho et al., "Understanding the Efficacy of Phishing Training in Practice," in 2025 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2025, pp. 76-76, doi: 10.1109/SP61157.2025.00076.

Koedinger, K. R., Kim, J., Jia, J. Z., McLaughlin, E. A., & Bier, N. L. (2015, March). Learning is not a spectator sport: Doing is better than watching for learning from a MOOC. In Proceedings of the second (2015) ACM conference on learning@ scale (pp. 111-120).

Kumaraguru, P., Cranshaw, J., Acquisti, A., Cranor, L., Hong, J., Blair, M. A., & Pham, T. (2009, July). School of phish: a real-world evaluation of anti-phishing training. In Proceedings of the 5th Symposium on Usable Privacy and Security (pp. 1-12).

Reinheimer, B., Aldag, L., Mayer, P., Mossano, M., Duezguen, R., Lofthouse, B., ... & Volkamer, M. (2020). An investigation of phishing awareness and education over time: When and how to best remind users. In Sixteenth Symposium on Usable Privacy and Security (SOUPS 2020) (pp. 259-284).