ベースラインフィッシングテスト

共有

この記事は役に立ちましたか?

最終更新:

ベストプラクティスガイド:ベースラインテストの設定

注:フィッシングテンプレートに高度な機能が追加されました!2025年に、全てのアカウントがフィッシングテンプレートの高度な機能にオプトインされます。 詳細については、「フィッシングテンプレートの高度な機能ガイド」を参照してください。

セキュリティ意識トレーニングプログラムを開始する前に、事前の通告なしで模擬フィッシングテストを全ユーザーに送信することを強くお勧めします。このテストは、組織のベースライン(現在の状況)を把握して確立するのに役立ちます。

このベースラインフィッシングテストの結果は、組織の最初のフィッシング詐欺ヒット率を示します。フィッシング詐欺ヒット率は、フィッシングメールをクリックする可能性のあるユーザーの割合を示します。この最初のフィッシング詐欺ヒット率を、組織のベースライン(現在の状況)と考えてください。あなたの組織全体のフィッシング詐偽ヒット率またはアカウント平均のフィッシング詐偽ヒット率は、少なくとも1つのフィッシングセキュリティテストを受けているアクティブユーザーのフィッシング詐偽ヒット率に基づいて算出されます。フィッシングテストを継続的に実施する場合、最初のヒット率に対して組織のフィッシング詐欺ヒット率を比較して、セキュリティ意識トレーニング計画の成果を評価できます。

重要:ベースラインテストを実施する前に、お使いのメール環境でKnowBe4のIPアドレスまたはドメインがホワイトリストに登録されていることを確認してください。ホワイトリストウィザードを使用するか、『ホワイトリスト登録ガイド』を参照して、お使いのメールクライアントやスパムフィルターをホワイトリストに登録する最適な方法を確認してください。

テストを事前に告知してはいけない理由

正確な結果を得るために、抜き打ちでベースラインフィッシングテストを行うことをお勧めします。テストを事前に告知しないことで、実際のフィッシング攻撃がメールフィルタを通過したときに、組織がどれだけ脆弱になるかを把握できます。このような認識を持っていると、関係者からの賛同が得られやすくなります。詳細については、セキュリティ意識トレーニングの計画に関係者を参加させる方法

ベースラインテストキャンペーンの推奨設定

ヒント:ベースラインフィッシングキャンペーンを作成する前にホワイトリストへの登録を完了したら、少人数のユーザーに限定したテストキャンペーンを少なくとも1回は実施することをお勧めします。詳細については、『クイックスタート実施ガイド』「準備用のテストキャンペーン」セクションを参照してください。

ベースラインキャンペーンを作成するには、[フィッシング] > [+ フィッシングキャンペーンの作成]に移動します。ベースラインテストキャンペーンでは、以下の設定を使用することをお勧めします。

注:フィッシングキャンペーンはデフォルトでローカライズされています。

キャンペーン設定1~6の画像。

  1. [キャンペーン名]:「ベースラインテスト」などの分かりやすい名前をキャンペーンに付けてください。
  2. 送信先:[全ユーザー]を選択します。
  3. 頻度:[一度限り]を選択します。
  4. 開始時間:ドロップダウンメニューから、ベースラインテストを実施する希望の日時を選択します。ユーザーが頻繁にメールをチェックする営業時間内の日時を選択する必要があります。
  5. 送信期間:[キャンペーン開始時に全てのメールを送信]を選択します。この設定を選択すると、キャンペーンが開始されると同時にメールの送信が開始されます。キャンペーンのユーザー数によって、メールの送信と配信のタイミングが異なります。通常のキャンペーンでは、全てのメールはキャンペーンが開始した1時間以内に送信されます。
  6. テスト実績の追跡:フィッシングテストが不合格になったかどうかは少なくとも3日間追跡することをお勧めします。送信期間と追跡期間の詳細については、「フィッシングキャンペーンの監視と確認方法」の記事を参照してください。
  7. フィッシングメールへの返信を追跡:フィッシングテストメールに対するユーザーの返信を追跡する場合、この設定をオンにできます。詳細については、「フィッシングへの返信」の記事を参照してください。
  8. [テンプレートトピック]:左側のドロップダウンメニューから、[機密情報を狙ったフィッシング]カテゴリを選択します。
  9. [テンプレート言語の設定]:この設定が有効な場合、ユーザーのプロフィールで設定されたフィッシング言語よりもこの設定が優先されます。言語設定の詳細については、「ローカライズガイド」を参照してください。
  10. [難易度]:この設定は、テンプレートの洗練度やユーザーが騙されて不合格になる可能性がどの程度であるかを示します。このキャンペーンの目的上、[難易度][全ての難易度]に設定したままにしてください。
  11. [テンプレートの選択]:このドロップダウンメニューから、[特定のテンプレート(テンプレートを1つ選択します)]を選択します。
  12. [特定のテンプレート]:[IT:すぐにパスワードの確認が必要です]テンプレートを選択します。 
    1. [プレビュー]:[プレビュー]をクリックすると、ユーザーに送信しているフィッシングテンプレートが表示されます。
  13. [フィッシングリンクのドメイン]:フィッシングリンクに使用するドメインを選択します。ここではユーザーがフィッシングリンクにカーソルを置いたときに表示されるドメインを選択します。クリックしても安全に見えるものを選んでください。
  14. [ランディングページ]:[デフォルトのランディングページ]をそのまま使用します。
  15. [クリッカーを追加するグループ]:このキャンペーンの目的上、これを選択する必要はありません。
  16. フィッシングテストの後に毎回、アカウント管理者にメールレポートを送信する:このチェックボックスを選択すると、テストが完了した後、アカウント管理者全員にメールが送信されます。このメールレポートは、[テスト実績の追跡]で設定した期間が終了した後、管理者に送信されます。

ベースラインテストを実施した後の処理

ベースラインフィッシングテストの後、ユーザーは受け取ったメールについて混乱したり、不安を感じたりする場合があります。このような混乱を避けるために、フィッシングテストが実施されたこととその目的を説明するメールを送ることをお勧めします。また、セキュリティ意識トレーニングの重要性を強調するために、自社組織のフィッシング詐欺ヒット率を共有してもよいでしょう。このメールで使用できるテンプレートを用意していますので、「ベースラインフィッシングテスト後のテンプレート」を参照してください。

ベースラインフィッシングテストを実施した直後に、ユーザーにセキュリティ意識向上トレーニングを受講させることをお勧めします。詳細については、「ベストプラクティスガイド:最初のトレーニングキャンペーンの作成」を参照してください。

ユーザーが最初のセキュリティ意識向上トレーニングの課題を完了したら、トレーニングで学んだスキルを実践できるように、フィッシングテストを継続的に実施することをお勧めします。継続的なフィッシングテストの詳細については、 『ベストプラクティスガイド』をご覧ください。 

この記事は有用でしたか?

27人中23人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ