従業員の行動変容を促し、セキュリティカルチャーの形成を──実現する効果的なセキュリティ教育

まず、近年の情報漏えい事件を振り返りながら、セキュリティ教育の重要性についてお話しします。

ここに、N社、K社、W社という3つの著名な情報漏えい事例を挙げさせていただきました。

• N社：元派遣社員による機密情報の持ち出しで、約900万件の顧客情報が漏えい。

• K社：ランサムウェアによるサイバー攻撃で、約25万人の個人情報が漏えい。

• W社：サポート詐欺により、約4万人の個人情報が漏えい。

日々多くのインシデントが発生する中で、なぜこの3社をピックアップしたのか。それは、いずれの事件も、そのきっかけが「人」であったと私たちが考えているからです。

N社のケースは、言うまでもなく内部の人間による情報漏えいです。K社のランサムウェア攻撃は外部からの攻撃ですが、一部報道によれば従業員の管理不備が被害を拡大させたとされています。そしてW社のサポート詐欺は、ある1人の従業員が攻撃の被害に遭ったことが発端です。
これらの事例に共通しているのは、たった1人、もしくは数名のインシデントが、極めて甚大な被害をもたらしたという事実です。たった1人の行動が、大規模な情報漏えいを引き起こしてしまう。これが現代のセキュリティリスクの恐ろしさです。
実際に、米国の通信事業者Verizon社の調査報告書「2025 Data Breach Investigations Report」によれば、全ての情報侵害の74%に、人的ミス、権限の悪用、ソーシャルエンジニアリングといった「人的要因」が含まれるとされています。もはや、「人」への対策は避けて通れない経営課題なのです。

これまでのセキュリティ対策を振り返ってみましょう。かつては、IT化されていない業務プロセスも多く、比較的単純な業務が中心でした。そのため、スライドにあるように「システムの壁」「ルールの壁」「運用の壁」という多層的な防御体制を構築することで、多くのサイバー攻撃を防ぐことが可能でした。
適切なシステムを導入し、明確なルールを定め、従業員がそれを遵守して運用することで、ある程度の安全性は担保できていたのです。
しかし、状況は一変しました。昨今のサイバー攻撃は、驚くべきスピードで高度化・巧妙化しています。その背景にあるのが「生成AIによる攻撃の高度化」と「サイバー攻撃の分業化による攻撃効率の向上」です。
例えば、生成AIの登場により、かつては「不自然な日本語のメールに気をつけましょう」で通用した標的型攻撃メールの見分けが、ほとんどつかなくなりました。また、ダークウェブなどを通じて攻撃が分業化されたことで、攻撃の絶対量が増加し、これまでターゲットとされてこなかったような企業も、無差別に攻撃の対象となり得る時代になっています。
もはや、従来の「システム・ルール・運用」の壁だけでは、それらをいとも簡単に突き破ってくる高度な攻撃や、物量で押し寄せる攻撃を防ぎきれないケースが増えているのです。

このような状況に対し、私たちはどのような対策を講じるべきなのでしょうか。
私たちの考えは、従業員を「守る」対象として捉えるのではなく、従業員一人ひとりを「最後の砦（とりで）」として位置づけることです。
今後、生成AIのさらなる発展などにより、私たちがまだ知らない「未知の攻撃」や、より「高度な攻撃」に晒される機会は増え続けるでしょう。事前にすべての攻撃パターンを予習することは不可能です。
しかし、そのような状況下でも、従業員一人ひとりがセキュリティ面で適切に振る舞うことができれば、サイバー攻撃による被害を防いだり、被害の拡大を最小限に食い止めたりすることが可能になります。
そのためには、従業員のセキュリティ意識を高め、セキュリティ的に正しい行動を促す必要があります。そして、それを実現する唯一の手段が「セキュリティ教育」なのです。

セキュリティ教育の重要性はご理解いただけたかと思いますが、多くの企業がその実践に課題を抱えています。私たちが実施した調査でも、

• 教育に充てる時間がない

• 担当者やリソースが足りない

• 効果測定ができない

といった声が上位を占めました。これらは結局のところ、効果的なセキュリティ教育を実施できていないという問題に集約されます。
そこで私たちが提唱しているのが、効果的なセキュリティ教育を設計するためのフレームワーク「TEACHモデル」です。

このTEACHモデルは、従来のセキュリティ教育とは設計思想、従業員の姿勢、そして教育の主眼という3つの点で一線を画します。
まず第一に、設計思想が異なります。これまでのセキュリティ教育は、昨年度に起きたインシデントや、経営層にも分かりやすいリスクに着目するといった「主観ベース」で設計されることが多くありました。それに対しTEACHモデルは、従業員の行動様態や、社内に実際に届いている不審メールの傾向といった「分析ベース」で教育内容を設計します。データに基づいて、組織の真の課題を解決するための教育を計画するのです。
第二に、従業員の姿勢が変わります。割り当てられた研修をただ受けるだけ、といった「受動的」な姿勢になりがちだった従来の教育とは異なり、TEACHモデルでは従業員自身の「気付き」をすべての起点とします。これにより、従業員が自ら学ぼうとする「主体的」な姿勢が形成されるのです。
そして第三に、教育の主眼が全く異なります。従来の教育では、ISMS認証などの要求事項を満たすため、研修を「実施すること」自体が目的化してしまうケースが少なくありませんでした。しかし、TEACHモデルが最も重視するのは、その名の通り**「行動変容」**です。知識を得た結果、従業員の行動がどう変わったのか、学んだ内容が業務に反映され、習慣化されているかどうかに注目します。

TEACHモデルは、単に知識をインプットするのではなく、分析に基づいて従業員の主体性を引き出し、最終的に「行動を変える」ことに主眼を置いた、新しい教育の考え方だといえます。

では、このTEACHモデルを具体的にどのように実践していくのでしょうか。私たちのクラウドサービス「セキュリオ」とコンサルティング事業を例にご紹介します。

・T （Trigger）：気付き

まず、セキュリティを「自分ごと」として認識していただくためのきっかけ作りです。
【セキュリオ】では、リアルな攻撃を実感できる「標的型攻撃メール訓練」を実施し「自分も攻撃対象になり得るんだ」という当事者意識を醸成します。
【コンサル】では組織の現状を明らかにする「リスクアセスメント」を行います。自分たちの部署に潜む具体的なリスクを知ることが、最初の大きな気付きとなります。

・E （Engage）：学び

気付きを得た後は、主体的・能動的に取り組める学習機会の提供が重要です。
【セキュリオ】では、動画や漫画など多様な形態のeラーニングを用意しています。セキュリティに苦手意識を持つ方でも、興味を持って理解を深められるよう工夫しています。
【コンサル】では役員向けにディスカッション形式のワークショップを行うなど、受け身ではない双方向の学びを設計します。

・A （Adopt）：実践

知識を得るだけで終わらせず、実際の業務に組み込むフェーズです。多くのお客様がここでつまずくポイントでもあります。
【セキュリオ】には、不審なメールをワンクリックで報告できる「フィッシング報告機能」があります。まずは「怪しいと思ったら報告する」という簡単な行動から、セキュリティ対策を実践する習慣をつけていただきます。
【コンサル】では、お客様の事務局業務を代行する「セキュリティBPOサービス」も提供しています。私たちが業務を肩代わりすることで、お客様は従業員への啓発活動といった、より本質的な業務に時間を割くことができます。

・C （Continue）：継続

年に1回の研修では、記憶は薄れてしまいます。いかに学びを途切れさせないかが重要です。
【セキュリオ】では、1回3分程度のミニテストを定常的に配信する「アウェアネス機能」を備えています。毎週、毎月といった頻度でセキュリティに触れることで、特別なものではなく日常の一部として意識を習慣化させます。
【コンサル】では、相談相手として伴走し、最新の脅威動向などの情報を提供することで、ご担当者様の意識を常にアップデートし続けます。

・H （Heighten）：高度化

このサイクルを回して得られた教育結果を分析し、次なる打ち手を改善していくフェーズです。
【セキュリオ】では、ミニテストの正答率や標的型攻撃メール訓練の開封率といった日々の学習データを分析し、自社の弱点がどこにあるのかを可視化します。データに基づいた、自動化・個別最適化された教育計画の立案を支援しています。
【コンサル】では、業務監査や組織監査を通じて、データだけでは見えてこない潜在的なリスクを洗い出し、より的を射た教育内容への改善を支援します。

このように、TEACHモデルに準じたサイクルを回していくことで、組織全体のセキュリティリテラシーを着実に底上げすることが可能になります。

最後に、このTEACHモデルの実践を強力にサポートする、私たちのサービス「セキュリティ教育クラウド セキュリオ」を改めてご紹介させてください。
セキュリオは、従業員のセキュリティ意識を底上げするための機能を、まとめて使えるクラウドサービスです。現在、導入実績は2,200社を突破しており、多くのお客様にご支持いただいています。
私たちがお客様からご評価いただけている最大の理由は、長年のコンサルティング経験に裏打ちされた、実践的なコンテンツ品質とサービス設計にあります。30名以上のコンサルタントが年間580社以上のお客様をご支援する中で得た知見を、常にプロダクトに反映し続けています。

標的型攻撃メール訓練、フィッシング報告、eラーニング、セキュリティアウェアネス。TEACHモデルを回すために必要なこれらの機能を、単独ではなくオールインワンで、網羅的にご提供できるのがセキュリオの最大の強みです。

セキュリティ教育にお困りのことがございましたら、ぜひ一度、私たちにご相談いただけますと幸いです。

お問い合わせ：https://www.lrm.jp/contact/