まず、オレは「開封率を計測すること」が意味ないとは思わない。しかし、これだけで充分とも全く思っていない。理由は以下の4点による。

• 開封率を測定して、後日同様の訓練を実施した際に開封率を下げていくという対処は、予防の観点からはある程度役立つが、0%まで持って行かないと（そして実際に攻撃を仕掛けられても0%を維持できないと）全く意味が無い
• 昨今のインシデント対応は、攻撃が来ても有効にならないような、いわゆる予防をやりつつも、実際に仕掛けられて有効になった攻撃を検知し、迅速な対応に移すようにシフトしてきている（これが昨今のCSIRT設立ラッシュにつながっているとも考えている）
• 攻撃側は、日々攻撃対象の研究を行い、標的型攻撃メールに使う内容を「巧妙かつ普通のメールと見分けがつかない」ように持って行っている。その一方で、防御側（というか訓練を仕掛ける側）が攻撃シーンに追随した訓練メニューの刷新を行えていない*1
• 「怪しいメールは開かない」という話を金科玉条*2のように言う人がいるが、そもそも「開かせる」ように工夫するのが標的型攻撃メールである