NISCのレポートが発表されたみたい。

内閣官房情報セキュリティセンター（NISC）は1月19日、政府機関の情報セキュリティ対策状況について発表した。標的型不審メール攻撃に対する訓練や公開Webサーバの脆弱性検査結果の中間報告、送信ドメイン認証技術のSPFレコードの設定状況を明らかにした。
標的型不審メール攻撃に対する訓練は、12の政府機関の職員など約6万人を対象に、2011年10〜12月に実施した。訓練では対象者に事前教育を行い、標的型不審メールの模擬メールを2回送信。開封率や受信時の行動などの結果を分析している。
ファイルを添付した1回目のメールの平均開封率は10.1％（レンジは1.1〜23.8％）、リンクを記載した2回目のメールの平均開封率は3.1％（同0.4〜6.1％）だった。メールを開封した以外の事例では受信メールに返信する形で送信元に差出人を確認してしまうケースや、不在通知が自動的に送信されるケースがあったという。
NISCでは2回目のメールで開封率が低下したことから、一定の訓練効果を得られたと分析。一方で、訓練実施からの時間経過で意識が低下することが懸念されるほか、事例にみられた行動から攻撃者に正規アドレスを知られてしまう恐れがあるといった課題を挙げている。
公開Webサーバの脆弱性検査は、希望した11府省庁の約330画面を対象に、2011年9〜12月にインターネット経由で実施。ツールおよび手動でプラットフォームとWebアプリケーションの状況を調べた。

政府のセキュリティ対策状況は？ 内閣官房が中間報告 - ITmedia NEWS