情報セキュリティ研修は、組織の人的な情報セキュリティ対策として重要です。情報漏えいやサイバー脅威による被害を起こさないためには、研修で従業員や関係者に情報セキュリティの知識を正しく伝え、適切な意識を維持してもらう必要があります。
本記事では、効率的かつ効果的な情報セキュリティ研修を検討・実施する方に向けて、学習内容やセキュリティの最新動向、研修の実施方法などを解説します。セキュリティ教育の選定にお役立てください。
そもそもセキュリティについて何を学習すべき?と言う方には、セキュリティチェックシートがオススメです。自身の理解度がわかり、研修のヒントにもご活用ください。
情報セキュリティの最新動向
IPA(独立行政法人情報処理推進機構)は「情報セキュリティ10大脅威 2026」を組織・個人に向けた注意喚起として公表しています。サイバー攻撃に関するトレンド、注意すべきサイバー攻撃について知り、セキュリティ研修で学習する内容の決定に役立てることが可能です。
組織向け10大脅威は以下の通りです。
| 順位 | 「組織」向け脅威 | 初選出年 | 取り扱い |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
| 9 | DDos攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
情報セキュリティ人材の育成には研修が必須
情報セキュリティに関する対応・対策を行うためには、サイバー脅威やセキュリティに関する仕組みを知っている必要があります。体系的に知識を身に付けるには、研修などの方法による効率的な学習機会が必須といえます。
例えば、情報セキュリティ人材を育成する際には研修が行われることが一般的です。情報セキュリティ人材と言うとどこか仰々しいですが、ここでは広く捉えてみましょう。
現代では業務のデジタル化が進み、組織内の情報セキュリティ対策は重要性を増しています。したがって、組織全体の情報セキュリティ担当者だけでなく、営業部や開発部など各部門のメンバーも、日常業務で積極的に情報セキュリティ対策を行う必要があります。
現場が情報セキュリティの重要性を理解してくれなければ、人材育成の土壌は育ちません。このため、過去のセキュリティ事故の経験、事例の共有によりセキュリティ意識を持ってもらいます。緊急時にスムーズに対応できるよう、セキュリティインシデント(セキュリティに関する事故)の模擬訓練を取り入れるのも効果的です。
情報セキュリティ人材の育成については、以下で解説していますので、あわせてご覧ください。
情報セキュリティ研修のおすすめ内容
情報セキュリティ研修で学習すべき知識は幅広いジャンルに渡ります。以下では、特に実業務での関連性が高いおすすめの内容を紹介します。
PCのセキュリティ
広く業務で利用するPCのセキュリティは情報セキュリティの基礎としておすすめです。
- ログインID・パスワードはかんたんなものになっていないか
- 席を離れるとき、画面にロックをかけているか
- 不審なファイルをダウンロードしていないか
- Wi-Fiは暗号化されているか
- ソフトウェアのバージョンが最新のものになっているか(アップデートを適用)
- OSのサポート期限は残っているか
- バックアップはとっているか
- 公衆Wi-Fiを利用していないか
業務中のPCの使い方については、従業員全員が理解しておくべき内容ですので、まず第一歩目の研修として実施することが適しています。
また、ここに付け加える形でサイバー攻撃にも触れるのも良いでしょう。標的型攻撃メールやフィッシングサイト、DoS攻撃といった身近かつ危険なサイバー攻撃についての理解も深め、より一層のセキュリティ意識の向上を狙いましょう。
個人情報保護法
個人情報保護法への理解は、情報セキュリティそのものの理解と密接です。
業務で個人情報を扱う機会は多く、その際の誤操作や見落としによって漏えい・流出は容易に起きうることです。そして、もし起きてしまったら甚大な被害が出かねないことを個人情報保護法を起点に理解してもらうことができます。
個人情報を流出させてしまった場合に、組織と従業員本人が被る影響の両方を伝えることで、より危機感をもってもらえます。
ソーシャルメディアポリシー
ソーシャルメディアポリシーとは、ソーシャルメディアを使用する際のルールを示すガイドラインです。
SNSが普及し、誰もが全世界に向けた発信ができる状況にあります。そして、発信した情報が意図せずに悪意・敵意をもって拡散され、「炎上」してしまうケースがあります。情報セキュリティで言えば、うっかりSNSで業務上の機密を投稿してしまうケースもあります。従業員にソーシャルメディアを利用する際の心構えと、不用意な投稿をしないように呼びかけることが必要です。
たとえば、プライベートでしか使っていないSNSアカウントで社外秘にあたる情報を投稿してしまうと、プロフィールや投稿の内容から勤務先が特定され、組織にまで被害が及ぶケースは少なくありません。
研修では、「どういった投稿が問題になるのか」「どういった影響があるのか」を伝え、必要に応じてSNSの利用ルールを設定するのもよいでしょう。
SNSアカウントの利用についてはこちらの資料を参考にしてみてください。
情報セキュリティポリシー
情報セキュリティポリシーは「その組織にはどんな情報資産があり、どのようにして、どんな脅威から守るのか」を明確にする基本方針です。
情報セキュリティポリシーを設定しても、認知されなければ効果がないため、組織全体に周知するよう研修を実施しましょう。
情報セキュリティポリシーの策定~運用のポイントを知りたい方はこちらの資料を参考にしてみてください。
標的型攻撃メール
標的型攻撃メールはサイバー攻撃の一種で、特定の個人を標的にメールを送信して機密情報などを奪い取る攻撃方法です。メールの受信者の個人的な情報をソーシャルハッキングの手法で調べ、他者をかたる・受信者の興味ある内容などで悪意あるWebサイトに誘導、マルウェアに感染させるなどの攻撃をします。
標的型攻撃メールの攻撃方法について研修で伝えた後、「怪しいメールは開かない」「添付ファイルを開く前に、不審な点がないか確認する」といった、基本的な対処法も学習しましょう。あわせて標的型攻撃メールに対する訓練の実施も行うと効果的です。
標的型攻撃メールのサンプル文面や事例が見たい方はこちらからご覧ください。
また、標的型攻撃メール訓練については、LRMのセキュリティ教育クラウド「セキュリオ」を利用することでメール文面の用意から結果の測定・管理までを実施可能です。
ヒヤリハット事例
ヒヤリハットとは「ひやりとした場面」「はっとした場面」が語源で、危ないことが起こったが、幸い災害には至らなかった事象のことです。ヒヤリハット事例にはセキュリティに関して知っておく・意識しておくべき内容が詰まっています。
ハインリッヒの法則として、危険な災害のうち多くはヒヤリハット事例として表出し、その裏に軽傷や重傷に繋がる事故が潜んでいることは広く知られています。したがって、このヒヤリハットの件数を減らすことが、重大なインシデントを起こさない方法となります。
ヒヤリハット事例を洗い出し、対策の検討を行い、事故を起こす可能性を下げる研修が従業員には有効といえるでしょう。
生成AI
生成AIは、AI(人工知能)によりテキストや画像、音楽などのコンテンツを自動的に生成する仕組みです。人間の知的作業の一部を効率的に実現できるため、業務での活用も広がっています。
2022年のChatGPTの登場にはじまりGemini、Copilotなどさまざまなサービスが提供中です。
しかし、生成AIの利用については情報セキュリティ上の理由などから注意が必要です。
インターネットを経由してサービスとして提供されている生成AIでは、問い合わせをするための情報を送信する必要があり、これが情報漏洩に繋がる可能性があります。生成AI側では学習データとしてこれらの情報を利用しており、問い合わせの記録をしない設定もあるものの確実とは言えません。企業組織で利用の仕方にルールを定め、適切な利用をする必要があります。
他にも直接的にセキュリティ上の問題ではないものの、生成AIの学習に利用されたコンテンツの所有者の権利を侵害する可能性があることにも注意が必要です。また、生成AIの仕組み上、必ずしもコンテンツの出力結果は正しいとは限らず、偏った内容の可能性もあります。これらの生成結果を拡散することは誤情報の流布となり、企業のコンプライアンスが問われる問題となりかねません。
今後に備えたセキュリティ研修として、生成AIやその他のAIの利用についてのセキュリティリスクも取り扱うことがおすすめです。
そのほかのセキュリティ研修については以下で解説しているので、こちらもあわせてご覧ください。
情報セキュリティ研修を成功させるポイント
情報セキュリティの研修を成功させ、効果をだすためのポイントについて、具体的に紹介します。
研修を受ける対象者は「業務にかかわる全員」
自社の従業員全員に研修を施すのはもちろんですが、それだけではありません。
業務上関わりのある、委託先や子会社、派遣社員、業務委託社員、場合によっては取引先にも情報セキュリティ研修を実施する必要があります。社内の情報に触れられる人物全員、サプライチェーン全体にセキュリティ意識を持ってもらわなければなりません。
研修は年1回ではなく「短時間・高頻度」の継続が重要
情報セキュリティ対策に必要な知識・リテラシーは多く一度で覚えることは容易ではありません。また、その場ではしっかり学習しても、日が経てば忘れ、セキュリティ意識は薄れてしまいます。
そのため、セキュリティ研修は定期的に、可能であれば月1回や週1回、実施することが望ましいです。頻度が多い場合には、各回は短時間で終わるように設定するとよいでしょう。
LRMのセキュリティ教育クラウド「セキュリオ」では、毎週配信のミニテスト(セキュリティアウェアネス機能)で継続的な従業員のセキュリティ理解度・リテラシーチェックが可能で、しっかり研修の効果を持続させることができます。
詳しくはこちらでご紹介しています。
テストや標的型メール訓練で従業員の理解度を可視化する
いくら研修をしていても、内容を理解し知識が定着できていなければ意味がありません。
理解度を確認するために有効な手段が研修内容についての小テストの実施です。また、実践を想定した訓練により、適切な対応を取るための知識の定着も確認します。標的型攻撃メールを模したメールを疑似的に送信する標的型攻撃メール訓練の実施も効果的です。
また、テストや訓練の結果をまとめて可視化し、理解が不足している場合にはフォローを行います。
当事者意識を育む
情報セキュリティ対策を他人事でなく自分事として扱える当事者意識を、研修を受けた人が持てるようにすることも重要です。
例えば、自分の財布は現金や免許証、クレジットカードが入っており大切なため、紛失や盗難に注意する人が大半だと思います。その一方で、組織から貸与されたものであれば無くしても直接的に自分が損をするイメージがわかず、注意が薄れてしまうかもしれません。
企業・組織の情報資産や端末を守ることについて、当事者意識をもってもらえるような研修を実施しましょう。
【無料】情報セキュリティ研修に使えるスライド・資料サイト
研修には「社内で実施する」「外部サービスを利用する」のいずれかの方法があります。
社内で実施する場合は、担当する社員は研修カリキュラムの準備にリソースが必要、講師としての充分な知識が不足していると正しい研修を実施できないといった点が課題となります。一方で、外部講師を招く場合は講師料や社内周知、日程調整といった連絡のリソースが必要です。
これらの問題を解決する研修方法が「eラーニング」です。
eラーニングとは、パソコンやタブレット、スマートフォンを使ってインターネットを利用して学ぶ学習形態です。比較的低価格で利用者の好きな場所、好きなペースで研修を実施できる特徴があります。
以下では、eラーニングによる研修や利用できる資料を一部無償で提供しているサービスについて紹介します。これらを独自の研修のネタとしてカスタイマイズし、スライドなどの研修資料を作成することも選択肢の一つです。
また、LRMの情報セキュリティ理解度チェックテストも無料で使えますので、参考にしてみてください。
IPA(情報処理推進機構)の情報セキュリティ関連サイト
IPA(独立行政法人 情報処理推進機構)が提供する情報セキュリティ対策eラーニングなどのサイトです。
質問に答えるだけで自社のセキュリティ対策状況を診断することができる「情報セキュリティ診断」や、情報セキュリティを1テーマ5分で勉強できる「情報セキュリティポイント学習」といった様々なコンテンツもあります。
一部はeラーニングとは厳密には違うかもしれませんが、無料とは思えないほど非常に有用なサイトです。
国家サイバー統括室(NCO)「インターネットの安全・安心ハンドブック」
内閣官房の一部門である国家サイバー統括室(NCO)では、サイバーセキュリティに関する普及啓発活動の一環として「インターネットの安全・安心ハンドブック」を公開しています。ハンドブックの名前通り、一般利用者向け・中小企業等向けに情報がまとめられており、利用しやすいです。
JPCERT コーディネーションセンター「JPCERT/CC 活動四半期レポート」/ 注意喚起
国内で発生したサイバー攻撃、セキュリティインシデントについて報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを行う非営利団体JPCERTによる直近の情報をまとめたレポートと注意喚起文です。情報セキュリティについては、常に最新の情報を押さえておく必要があり、トレンドを把握する上で重要な資料です。
経済産業省のサイバーセキュリティ経営ガイドライン
経済産業省による企業及び経営者向けのサイバーセキュリティ対策推進用のガイドラインです。経営者向けの3原則と事業担当者向けの重要10項目にまとめられており、組織での情報セキュリティを検討する際の参考となります。
情報セキュリティ研修の効率化にはeラーニングがおすすめ
ここまでお伝えした通り、eラーニングは下記の研修にかかる手間や時間を大きく削減できる特徴を持ちます。
- 準備不要
- 時間調整不要
- 研修場所不要
- 確認テスト不要
- 集計不要
eラーニングを効果的に使うことにより、研修を手軽に効率的に実現可能です。
弊社では、eラーニングを活用した情報セキュリティ研修に役立つサービス「セキュリオ」を提供しています。標的型攻撃メール訓練や情報セキュリティに関する定期的なテスト(セキュリティアウェアネス)により、効率よく組織のセキュリティレベルアップが見込めます。
気になった方はぜひ、無料の資料で機能・料金をご確認ください。
まとめ|最新の内容を反映した情報セキュリティ研修の定期実施を
サイバー脅威と情報セキュリティは、技術的な進歩、変化が大きく、最新の内容を反映した研修が求められます。また、セキュリティに対する意識を継続させるためにも、定期的な実施が必要です。
セキュリティ意識・リテラシーの低い従業員が一人いると、そこがセキュリティホールとして組織の脅威になってしまいます。すべての関係者が正しい知識を研修によって身に着けることで人的なセキュリティ対策が可能です。継続的に、研修を実施して、万が一の事態に備えましょう。
