社内セキュリティ研修の作り方【6つの脅威・構成・伝え方まで情シスが解説】
この記事でわかること
  • 社内セキュリティ研修の構成と設計の考え方
  • 押さえるべき6つの脅威と各対策の伝え方
  • 実名企業の被害事例を使って「他人事じゃない」と感じさせる方法
  • 研修の締めに「明日からできること」に絞ってまとめる重要性

セキュリティ研修は「やった」で終わりにしがちな研修の筆頭だ。スライドを流して、「気をつけましょう」で終わる。受講者は「わかった」と思って席を立つが、翌日には忘れている。

この記事では、実際に設計・実施した全社向けセキュリティ研修の構成と、各セクションで意識したポイントを解説する。「行動が変わる研修」にするための工夫を中心にまとめる。

▼研修の全体構成

研修の流れはシンプルにした。「なぜセキュリティが必要か」→「何が脅威か」→「どう行動するか」という順番で設計することで、受講者の頭に論理的に入りやすくなる。

セクション 内容 意図
①セキュリティとは何か 守るべき情報資産・脅威・管理の定義 抽象的な概念を段階的に定義する
②6つの脅威と対策 マルウェア・脆弱性・不正アクセス・フィッシング・BEC・不注意漏洩 具体的な脅威ごとに「何をすべきか」をセットで伝える
③2025年のトレンド IPA「情報セキュリティ10大脅威」を引用、サプライチェーン攻撃・AI悪用 最新動向を公的データで裏付ける
④まとめ 明日からできる4つの行動に絞る 長い研修を具体的な行動で締める
💡 章の切れ目にナビゲーションスライドを入れる
「今どのセクションにいるか」を都度見せることで、受講者の頭が整理される。長い研修ほど効果的で、「全体の何割が終わったか」が見えると集中力が持続しやすい。

▼ビジネスにおけるセキュリティの定義

「セキュリティ」という言葉から入ると、受講者は何となく「難しい話が始まる」と身構える。そこで最初に「守るべきものは何か」から入ることで、自分ごととして捉えやすくなる。

守るべき情報資産の例として、会議資料・メール・情報端末・個人情報・機密情報・財務情報を挙げた。これらが「ウイルス感染・メール詐欺・不正アクセス・漏洩」といった脅威に常に晒されている、という流れで「だからこそ適切に管理・保護することがビジネスにおけるセキュリティだ」という定義に着地させる。

▼6つの脅威と対策

脅威①

マルウェア・ランサムウェア

マルウェアは悪意のあるプログラムの総称。その中でもランサムウェアはデータを暗号化して身代金を要求するタイプで、近年被害が急拡大している。感染経路はメールの添付ファイルやWebからのダウンロードが主だ。

実名企業の被害事例を使うと、受講者が「他人事じゃない」と感じる。ある大手メディア企業では2024年にランサムウェア攻撃を受け、主要サービスが停止・約25万人の個人情報が漏洩した。被害総額は数十億円規模に及んだ。

✅ 対策:添付ファイル・リンクを安易に開かない。OSは定期的に更新する。
脅威②

脆弱性を突いた攻撃

OSやアプリケーションのセキュリティホールを狙う攻撃。修正プログラム公開前に攻撃するゼロデイ攻撃と、修正プログラムが出ても適用前の期間を狙うNデイ攻撃がある。「アップデートを後回しにする」という日常的な行動が実はリスクだと伝えることが重要だ。

✅ 対策:ITチームの指示に従い、OSとブラウザのアップデートをこまめに実施する。
脅威③

不正アクセス

外部からの侵入だけでなく、従業員・元従業員による内部不正も増加傾向にある。原因は簡単なパスワードや、共有アカウントのパスワード未変更など。「社内は安全」という思い込みを崩すことが、この脅威の伝え方のポイントだ。

✅ 対策:OktaによるMFA(多要素認証)を徹底する。共有アカウントは最小限に。パスワード管理にはKeeperを使い、使い回しをなくす。
脅威④

フィッシング詐欺

送信者を詐称したメール・SMS・DMで偽サイトに誘導し、クレジットカード番号やアカウント情報を窃取する手口。近年は本物と区別がつかないほど偽造精度が高くなっている。「本物っぽく見えるから危ない」という点を強調することで、確認習慣を根付かせる。

✅ 対策:URLを安易にクリックしない。送信元アドレスとURLを公式サイトと照合してから開く。
脅威⑤

ビジネスメール詐欺(BEC)

経営層や取引先担当者に成りすまして、送金や振込先変更を促す詐欺。「社長からのメールだから」という心理を悪用する。「上司や社長からのメールでも疑う必要がある」という意識転換が最大のポイントだ。

✅ 対策:不審なメールはすぐ社内に共有・相談する。急な振込先変更の依頼は、メール以外(電話など)で取引先に直接確認する。
脅威⑥

不注意による漏洩

悪意のある攻撃者だけでなく、ヒューマンエラーも重大インシデントの原因になる。メール誤送信・外出先でのPC紛失・置き忘れが主な原因で、体調不良時・急いでいる時・外出中に特に発生しやすい。「うっかりでも重大事故になる」という認識を持たせることが重要だ。

✅ 対策:外出時はPCを肌身離さず持ち歩く。フリーWi-Fiは使わない。飲み会にPCを持参しない。紛失・盗難が発生したら即ITチームに連絡する(遠隔ロック・データ削除対応)。

▼2025年のセキュリティトレンド

最新の脅威動向をIPAの「情報セキュリティ10大脅威 2025」を引用しながら補足した。毎年似たような脅威がランクインしている事実を示すことで、「今年も油断しないように」というリマインドになる。

サプライチェーン攻撃

自社を直接狙うのではなく、セキュリティが弱い取引先・外部サービスを経由して侵入する手口が増えている。「自社のセキュリティが強くても、取引先経由で侵入される」という認識が重要だ。先述のランサムウェア事例も実はこのサプライチェーン攻撃に分類される。

AIを使ったサイバー攻撃

AIを利用したフィッシングメールの精巧化・自動化が進んでいる。「本物と見分けがつかない」状況がさらに加速していく。個別の対策というより、「疑うことを習慣にする」という姿勢の重要性を伝える文脈で使う。

▼まとめ:「明日からできること」4つに絞る

長い研修の締めとして、抽象論ではなく「明日からできる具体的な行動」に絞ってまとめることが重要だ。あれもこれも伝えると何も残らない。

セキュリティ研修の締めに使える4つの行動
1. 不審なメールやファイルは開かない
2. 怪しいサイトを見ない・データをダウンロードしない
3. 感染の恐れがあるときはすぐにネット接続を切る(Wi-Fi OFF)
4. 何かあったら自己解決せず、必ず社内に共有・相談する

▼研修設計で意識した3つのポイント

  • 実名企業の被害事例を使う:「他人事じゃない」という危機感は、実名・実数字の事例が一番効く。架空の事例では伝わらない
  • 各脅威に「What to do」をセットで付ける:脅威の説明だけで終わると「怖いね」で終わる。必ず「だから何をするか」をセットで伝える
  • 締めは「これだけやれ」に絞る:研修で伝えたことを全部覚えてもらおうとしない。最後の1スライドで「最低限これだけ」に絞ることで、行動につながりやすくなる
⚠️ セキュリティ研修でやりがちな失敗
・脅威の説明だけで終わって対策を伝えない
・「気をつけましょう」という抽象的な締めで終わる
・事例が古くて「昔の話」と受け取られる
・研修をやった満足感で終わって、定着確認をしない
📄 社内AIツールの安全性・利用ルールについてはこちらの記事でも解説しています。

📥 この記事で紹介したセキュリティ研修スライドを無料公開しています

実際に社内で使用した研修スライド(全34枚)をそのまま公開しています。社内研修の参考にどうぞ。

📊 セキュリティ研修スライドを見る(無料)→

📩 社内セキュリティ研修・ルール整備でお困りの方へ

「セキュリティ研修を初めて設計したい」「社内のAI利用ルールを整備したい」という段階からご相談いただけます。顧問プラン(月6万円〜)から対応可能です。

無料相談・お問い合わせはこちら →