新入社員などセキュリティに馴染みがない社員に基礎知識をどのように習得させるか？
～「知っているつもり」が一番危険。組織の自衛力を高める階層別教育のあり方～

春からの新年度に向け、新入社員など多くの企業で研修計画の準備が本格化する時期となりました。事業理解を深める研修、マナー研修、職種別研修など、様々な研修が実施されますが、セキュリティについてはいかがでしょうか？Z世代に代表される若手はデジタルネイティブであるが故、デジタルを上手に使いこなす一方で、セキュリティに配慮した利用になっているとは言い難い側面も見受けられます。

セキュリティにも最低限知っておくべきことがあります。しかし、意外とセキュリティの基礎知識を正しく、網羅的に学べる教材は多くなく、各社が独自にカリキュラムを作成したり、レクチャーを行うなど、教える側の負担も相応に求められます。

DX（デジタルトランスフォーメーション）の加速に伴い、業務のデジタル化は不可逆な流れとなっています。しかし、どれほど堅牢なセキュリティシステムや最新のファイアウォールを導入しても、そのシステムを利用し、情報を扱うのは最終的に「人」です。

昨今多発するランサムウェア被害や情報漏えい事故の多くが、従業員の些細な不注意や、巧妙な罠への誤った対応から始まっています。つまり、「人（従業員）こそが、セキュリティの最後の砦（ファイアウォール）」なのです。

今回は、セキュリティ専門家であり、GSX（グローバルセキュリティエキスパート株式会社）の社外取締役も務める上野宣氏の著書『セキュリティ1年生』のコンセプトを紐解きながら、組織のフェーズや対象者に合わせた「今、本当に効果のあるセキュリティ教育」について解説します。

0.そもそも『セキュリティ1年生』とはどんな本か？

コラムの本題に入る前に、今回のテーマの核となる書籍『セキュリティ1年生 図解でわかる！会話でまなべる！』（翔泳社刊）についてご紹介しましょう。

本書は、セキュリティ業界の第一人者である上野宣氏が、「IT用語が苦手」「カタカナばかりで頭に入らない」という初心者に向けて執筆した入門書です。上野宣氏は「経営者や情報システム部門の方が従業員に知っておいてもらいたいセキュリティの知識を身につける書籍として『セキュリティ1年生』を執筆した」と述べています。発売以来、多くの企業で新入社員研修の参考図書や、ITパスポート等の試験対策の副読本として活用されています。

【目次】
第1章 セキュリティって何? 仕事と日常を守る第一歩
第2章 気づかないうちに危険が! 会社と日常の守り方
第3章 知れば防げる! セキュリティ脅威のしくみと対策
第4章 事故は防げる! ふだんからできるセキュリティ習慣
第5章 もしも起きたら? セキュリティトラブルの正しい対処法
第6章 知らなかったではすまされない! 情報と法律の基本ルール

特徴①：「せん先生」と「おっちょさん」の対話形式

本書の最大の特徴は、堅苦しい教科書スタイルではなく、キャラクター同士の「会話」で進む点です。
セキュリティに詳しい「せん先生」と、新入社員で少しおっちょこちょいな「おっちょさん」のやり取りを通じて、読者は「おっちょさん」に感情移入しながら学習できます。「なぜパスワードを使い回してはいけないの？」「カフェのWi-Fiって何が危険なの？」といった、誰もが抱く素朴な疑問からスタートするため、抵抗感なく読み進められます。

特徴②：日常のリスクから法律まで網羅

「ウイルス対策」といった技術的な話だけでなく、以下のような現代のビジネスパーソンに必須の知識が網羅されています。
●身近な脅威： フィッシング詐欺、SNS炎上、公共Wi-Fiのリスク
●情報の取り扱い： パスワード管理、バックアップの重要性
●事故対応と法律： インシデント発生時の報告フロー、個人情報保護法、不正アクセス禁止法
この書籍が示唆しているのは、「セキュリティ教育とは、専門用語を暗記させることではなく、日常の行動を変えるための『納得感』を作ること」というメッセージです。企業の教育担当者は、この「1年生」の視点に立ち返る必要があります。

1.【新人研修】デジタルネイティブ世代への「初期インストール」

4月に入社する新入社員、特にZ世代は、生まれた時からスマートフォンやSNSに触れている「デジタルネイティブ」です。しかし、彼らはツールの利便性を享受することには慣れていますが、「裏側に潜むリスク」や「ビジネスにおける情報の重み」に対しては、驚くほど無防備なケースが少なくありません。

彼らを「ITに詳しいから大丈夫」と放置するのは危険です。彼らは「デジタルネイティブ」であっても、「セキュリティネイティブ」ではないからです。

●教育の深掘りポイント：

• 公私の境界線（SNSリスク）：
  学生時代、日常の出来事をSNSに投稿するのは当たり前でした。しかし、ビジネスの現場では、オフィスの背景に写り込んだ書類や、社員証の写真、あるいは「今日○○社に行った」という何気ない投稿が、機密情報の漏えいや標的型攻撃の手がかり（ソーシャルエンジニアリング）に繋がります。「バイトテロ」の延長線上にあるリスクを、具体的な事例とともに伝える必要があります。
• 「なぜ？」を腹落ちさせる：
  彼らは合理性を重視します。「会社のルールだから従え」と頭ごなしに禁止するだけでは、抜け道を探そうとします（シャドーIT）。「なぜフリーWi-Fiを使ってはいけないのか（通信の盗聴リスク）」「なぜOSのアップデートが必要なのか（脆弱性の修正）」という理由と仕組みをセットで教え、入社直後の「初期設定」としてセキュリティ意識を正しくインストールします。

2.【全社教育】「慣れ」という最大の敵と戦う

既存社員に対する教育は、年に一度の「恒例行事」となり、マンネリ化しがちです。「自分は大丈夫」「今まで何も起きなかったから」という正常性バイアス（慣れ）こそが、攻撃者にとっての最大の隙となります。

●教育の深掘りポイント：

• 最新の脅威へアップデート：
  サイバー攻撃の手口は日々進化しています。数年前の常識が、今の非常識になっていることもあります。例えば、Emotet（エモテット）のように、実在する取引先や上司からの返信を装った巧妙なメール攻撃は、生成AIが発達した現在においては、従来の「怪しい日本語のメール」という知識だけでは見抜けません。最新の「情報セキュリティ10大脅威（IPA）」などを題材に、知識のアップデートを促す必要があります。
• 「報告」の心理的ハードルを下げる：
  『セキュリティ1年生』でも強調されているのが、**「もしも起きたらどうするか」**です。多くのインシデントにおいて、被害が拡大する原因は「怒られるのが怖くて報告が遅れた」ことです。「怪しい添付ファイルを開いてしまった」「PCの挙動がおかしい」といった時に、躊躇なく速やかに報告する、等の初動対応こそが、企業の命運を分けます。教育を通じて、「報告することは善である」という文化を醸成する必要があります。

3.企業の「成熟度」に合わせた教育戦略

セキュリティ教育において、「万人に効く特効薬」はありません。自社の現状（成熟度）に合わせて、適切なアプローチを選択する必要があります。

Case A：これまで教育があまり出来ていない企業

「予算が確保できない」「専任の教育担当者がいない」「何から手をつければいいか分からない」といった理由で、体系的な教育が後回しになっている企業も多いでしょう。
しかし、サプライチェーン攻撃が激化する今、セキュリティ対策が不十分な企業は、取引先から「リスク要因」と見なされ、ビジネスの機会を失う可能性すらあります。

●推奨アクション：

• まずは「スモールスタート」で：
  最初から高度な技術教育を目指す必要はありません。『セキュリティ1年生』で語られるような、「パスワードの使い回しNG」「OSは最新にする」「怪しいメールは開かない」といった基礎のキを、全社員が共有するだけで、リスクは大幅に低減します。
• 外部リソースの活用：
  自社で教材を一から作成するのは膨大な手間がかかります。手軽に導入できるクラウド型の教育サービスを活用し、「まずは全社員に一度、体系的な知識に触れさせる」ことから始めましょう。

Case B：これまで教育を実施してきた企業

定期的にeラーニングや集合研修を実施している企業が陥りやすいのが、「実施すること」が目的化してしまう罠です。「受講完了率100%」という数字に満足していませんか？ 動画を流し見しているだけでは、実際の攻撃メールは防げません。

●推奨アクション：

• リテラシーの「可視化」：
  「教育を受けた」から「身についた」へフェーズを移行させます。テストや資格試験を通じて、従業員一人ひとりの理解度を数値化・可視化しましょう。苦手分野が明確になれば、追加の教育など、より効果的な対策が打てます。
• 階層別教育の強化（専門人材の育成）：
  一般社員の底上げができたら、次はIT部門やCSIRT（セキュリティ対応チーム）向けに、より技術的な専門教育を提供します。現場のリーダー層が高度な知識を持つことで、組織全体の防御力を多層的に高めることができます。

4.組織の「自衛力」向上を支援するGSXの教育ソリューション

GSXでは、上野宣氏が監修・関与する教材を含め、企業のフェーズに合わせた実践的な教育ソリューションを提供しています。書籍『セキュリティ1年生』のようなわかりやすさで、企業教育向けに適したサービスです。

▼【全従業員・新入社員向け】 わかりやすく基礎を固める

Mina Secure®（ミナセキュア）
システム部門ではない一般の従業員を対象とした、クラウド型eラーニングサービスです。
「お勉強」になりがちなセキュリティ教育を、アニメーションを用いて「身近な物語」として解説します。IT用語が苦手な層でも抵抗なく学習でき、管理者は受講状況を一元管理可能です。まずはここから、組織の「セキュリティ1年生」として入学させましょう。

Mina Secure

GSXのセキュリティコンサルタントが監修した SaaS型の情報セキュリティ e ラーニング サービスです。経営層から一般社員まで、インターネット閲覧やメール、SNSなど日常業務に潜む情報セキュリティリスクを学ぶことができます。

https://www.gsx.co.jp/services/securitylearning/minasecure.html

OT Mina Secure®（OTミナセキュア）
工場でもDXが進んでおり、セキュリティに対する知識を有しておくことが求められます。OT現場で必要になる知識を身に着けることができるクラウド型eラーニングサービスです。

OT Mina Secure®

工場の従業員様向けに、OTセキュリティの理解を深める（現場への浸透を図る）ための教育コンテンツをeラーニングとしてご提供します。

https://www.gsx.co.jp/services/securitylearning/otminasecure.html

▼【全社員・リーダー向け】 教育の効果を「証明」する

セキュリスト（SecuriST）® Security Passport
従業員が正しいセキュリティ知識を持っているかを認定する資格制度です。
「研修はやったが、本当に身についているのか？」という課題に対し、客観的な「資格」という形でリテラシーレベルを証明します。合格を目指すプロセス自体が学習となり、組織全体のセキュリティレベルを可視化する指標（KPI）としても最適です。

セキュリティパスポート講座

セキュリティパスポート講座は、デジタル人材が身につけるべき情報セキュリティの基本を体系的に学ぶ教育講座です。メールやSNS、クラウドサービスの利用時に潜むリスクを理解し、日常業務で情報を適切に扱う判断力と実行力を育成します。非技術職や新入社員でも安心して受講できる内容で、社内インシデントの未然防止とセキュリティ文化の定着を目指します。

https://www.gsx.co.jp/services/securitylearning/securist/securitypassport.html

▼【全従業員向け】 体験することで身に着ける

標的型メール訓練サービス「トラップメール」
攻撃に見立てたメールを配信し、受信者の知識や対応能力を検証するサービスです。
セキュリティリテラシーを高めるためには、座学で身に着けた知識を体験によって反復することで学びが深まります。

トラップメール（標的型攻撃メール訓練）

https://www.gsx.co.jp/services/securitylearning/trapmail.html

▼【IT・セキュリティ担当者向け】 技術的な深みと実践力を

SEA/J（セキュリティ・エデュケーション・アライアンス・ジャパン）
情報システム担当者やエンジニアを対象とした、初球の技術者向け教育プログラムです。
特定のベンダー製品に依存しない、セキュリティの基礎技術から応用までを体系的に学びます。現場で実際に使えるスキル習得を支援し、組織のセキュリティを牽引するリーダーを育成します。

SEA/J基礎コース CSBM

セキュリティ・リーダを目指す人のために、情報セキュリティ全般の知識(IPA情報セキュリティスキルマップの全16要素)を網羅した教育です。

https://www.gsx.co.jp/services/securitylearning/seaj/