KnowBe4 Japan、2025年度 フィッシングベンチマーキングレポートを公開

ヒューマンリスクマネジメントと組織のセキュリティ文化づくりを支援するKnowBe4 Japan合同会社（本社：東京都港区、職務執行者社長：力一浩、以下「KnowBe4（ノウビフォー）」）は、「2025年度 フィッシングベンチマーキングレポート アジア地域版」を公開しました。

本レポートでは、フィッシング詐欺やソーシャルエンジニアリング詐欺に引っかかる可能性のある従業員の割合を示す「Phish-prone™ Percentage（PPP：フィッシング詐偽ヒット率）」を業界別のベンチマーキングとして測定し、組織全体のフィッシング脅威に対する脆弱性を示しています。今年度のレポートによると、基準値となる世界平均のベースラインPPPは33.1%でした。これは、「セキュリティ意識向上トレーニング（SAT）」を開始する前に、従業員の3分の1が模擬フィッシングテストに引っかかっていることを意味します。

このデータは、リスク軽減に対してSATが大きな影響を与えていることを示しています。トレーニングの実施後、全世界のPPPが大きく減少し、わずか3か月で40%減、12か月後に86%減少したことは、継続して効果的なトレーニングを実施することで持続的な行動変容をもたらし、サイバーセキュリティ脅威に対する脆弱性を大幅に軽減することを示しています。これは、組織内で強固なセキュリティ文化を築く上で、継続的な教育が重要な役割を果たしていることを示しています。わずか3か月という短期間でも、その効果は顕著に現われています。

KnowBe4は今回、62,400組織、1,450万人以上のユーザーを対象に、6,770万回を超える世界中のフィッシング模擬テストを分析しました。世界平均のベースラインPPP（33.1%）は、KnowBe4のトレーニングを実施する以前の組織のフィッシング詐欺への脆弱性を示しています。従業員はその後、KnowBe4のSATを受講し、90日後にPPPを再計算したうえで、さらに継続的なトレーニングを1年以上実施して再計算することで、プログラムの効果を定量化しています。

世界の主要な調査結果：

• 世界的に最もリスクが高く、ベースラインPPPが最も高い上位3つの業界は、医療・介護および製薬業界41.9%、保険39.2%、小売・卸売36.5%でした。

• 大規模な組織は初期のフィッシングリスクが高く、従業員数10,000人以上の組織ではベースラインPPPが40.5%だったのに対し、従業員数1人～250人の組織では24.6%でした。

• 従業員数1,000人～9,999人の組織では、医療・介護および製薬業界、ホスピタリティ、法務の3つのセクターで、12か月間の継続的なトレーニングを実施した結果、PPPスコア改善率91%を達成しました。

• 地域別に見ると、ベースラインPPPが最も高いのは南米39.1%、北米37.1%、オーストラリアとニュージーランド36.8%でした

アジアの主要な調査結果：

• アジア地域は世界で最もフィッシングの初期リスクが低く、ベースラインPPPは28.6％でした。

• 従業員数別のベースラインPPPは、1,000人以上の組織が29%で最もリスクが高く、従業員数1人～249人の組織では24.3%でリスクが最も低い結果となりました。

• 業界別のベースラインPPPは、保険が43.6%で最も高く、アジア地域の平均を15%上回っています。次いでフィッシングリスクが高い業界は、銀行39.1%、教育37.9%、ホスピタリティ36.7%、非営利団体33%となります。

• 英語を母国語としない人は英文メールを怪しいと感じて無視する傾向が高かったものの、生成AIで各国言語のフィッシングメールを容易に作成できるようになったことで近年の攻撃リスクが高まっています。

KnowBe4のCEO (*1) であるストゥ・シャワーマンは、次のようにコメントしています。

「データは嘘をつきません。つまり、それだけセキュリティ意識向上トレーニングの効果が明確に表れているということです。2024年から2025年にかけて、全体的な傾向はほぼ一貫しており、約3分の1の従業員がトレーニング参加前の模擬フィッシングリンクをクリックしていました。しかし、2025年のデータではわずかな改善が見られます。1年間で、全世界のベースラインPPPが3.5% (*2) 減少したことは、世界全体のセキュリティ意識にポジティブな変化が表れていることを示しています。しかし、フィッシングリスクを完全に解消するためには、さらに一歩進んだ意識改革が必要です。それぞれの組織にとって関連性の高い参加型トレーニングを継続して優先的に行い、模擬フィッシングとも組み合わせることで、組織はヒューマンリスクマネジメント戦略を強化し、フィッシング詐欺への保護を強化して、全社的なセキュリティ文化の向上を実現できます」

KnowBe4 Japanのセキュリティエバンジェリストである広瀬努は、今回発表したレポートに関連して以下のようにコメントしています。

「近年、サイバー攻撃は巧妙化の一途を辿り、特に『人』を標的とした攻撃は増加傾向にあります。組織において、従業員は依然として最大の攻撃対象領域であり、どれだけ強固な技術的対策を講じても、人の脆弱性が残る限りサイバーセキュリティリスクは払拭できません。本レポートで示されるフィッシング耐性のベンチマークデータは、組織が自社の現状を把握し、アタックサーフェス（攻撃対象領域）管理を最適化するための貴重な情報を提供します。定期的なフィッシング訓練は、従業員のセキュリティ意識とスキルを向上させ、結果としてサプライチェーン全体のセキュリティ強化に極めて有効です。KnowBe4は、このレポートを通じて、より多くの組織がデータに基づいた効果的なセキュリティ意識向上プログラムを推進し、組織全体のセキュリティレベル向上に貢献できることを願っております」

詳細は、こちらからKnowBe4 2025年度 フィッシングベンチマーキングレポート（アジア地域版）をご覧ください。

組織が持続可能な成長を実現するためには、従業員一人ひとりがヒューマンリスクとサイバーセキュリティを自分事として捉えることが不可欠です。その上で、セキュリティを重視する文化を育み、組織全体の行動様式として根付かせることで、ヒューマンリスクを最小化することができます。KnowBe4 Japanは今後も、ヒューマンリスクマネジメントプラットフォーム「HRM+」を通じてセキュリティ文化の形成を支え、組織のリスク管理をサポートしてまいります。

*1：2025年5月5日付で取締役会長に就任

*2：世界平均のベースラインPPPは、2024年度が34.3％、2025年度が33.1%

＜KnowBe4 について＞

KnowBe4は、世界中の70,000以上のお客様から支持されています。従業員が日々、より賢明なセキュリティ判断を下せるように、そして、セキュリティ文化の強化とヒューマンリスクの管理を実現できるように支援いたします。ヒューマンリスク管理のためのAIドリブンな「ベスト・オブ・スイート」プラットフォームで、人の行動を鍛え、新たなサイバー脅威に柔軟に対処できる防御層を構築します。HRM+プラットフォームから、セキュリティ意識向上、コンプライアンス教育、クラウドメールセキュリティ、リアルタイムコーチング、クラウド型アンチフィッシング、AI防御エージェントなどを提供します。KnowBe4はパーソナライズ、個人別の最適なコンテンツ、ツール、技術で従業員を組織にとっての最大の攻撃対象から最大の防御層に転換させる、ヒューマンリスクにフォーカスした唯一のグローバルセキュリティプラットフォームベンダーです。