当社「DX推進室」ITセキュリティ担当の田賀です。この度、2025年5月に全社員を対象としたITセキュリティ研修を実施いたしました。IPA「10大脅威2025」を活用し、従業員の意識向上と実践力を強化しました。本記事では研修内容・参加者の声をご紹介します。
研修実施の背景と目的:なぜ今、全社研修なのか?
近年、サイバー攻撃の手法は日々巧妙化し、その標的はもはや大企業だけではありません。**中小企業も例外なく、ランサムウェア、ビジネスメール詐欺、サプライチェーン攻撃といった多様な脅威に常に晒されています。**実際に、報道などで被害事例を目にすることも増え、私たちも対岸の火事ではないと強く認識していました。
このような状況の中、当社のITセキュリティレベルを組織全体で向上させることは喫緊の課題でした。どんなに強固なシステムを構築しても、最終的にIT機器を操作し、情報に触れるのは私たち社員一人ひとりです。社員のセキュリティ意識の低さや不注意が、重大なインシデントに繋がりかねないという危機感を常に抱いていました。
そこで、今回の研修では以下の3つの重要な目的を設定しました。
- 最新の脅威への認識共有と危機意識の醸成: 漠然とした「セキュリティ対策は重要」という認識から一歩踏み込み、現在どのような脅威が実際に存在し、それが当社にどのような影響をもたらす可能性があるのかを具体的に理解してもらうこと。
- 実践的な知識と具体的な対策の習得: 脅威を知るだけでなく、それに対して社員一人ひとりが日常業務の中でどのような対策を講じることができるのか、具体的な行動レベルで理解してもらうこと。
- 組織全体のセキュリティ文化の醸成: ITセキュリティは、特定の部署や個人の責任ではなく、全社員が当事者意識を持ち、協力し合うことで初めて強固なものとなるという共通認識を醸成すること。
これらの目的を達成するため、単なる座学に終わらない、参加型の実践的な研修を企画しました。
研修の内容:IPA「情報セキュリティ10大脅威 2025」を徹底活用
研修教材には、情報処理推進機構(IPA)が毎年発表している**「情報セキュリティ10大脅威 2025」の組織向け解説資料(https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf)**を全面活用しました。この資料は、企業が直面する可能性のあるセキュリティリスクが網羅されており、以下のような点で研修教材として非常に優れていると考えました。
- 信頼性と網羅性: IPAという公的機関がまとめた最新の脅威情報であるため、信頼性が高く、中小企業が注意すべき脅威が体系的に整理されています。
- 具体性と身近さ: 抽象的な脅威論だけでなく、具体的な事例や対策が示されているため、社員が自分事として捉えやすい内容です。
- 組織向け視点: 個人向けの脅威だけでなく、組織として直面する脅威(サプライチェーンの弱点を悪用した攻撃、内部不正、テレワークのセキュリティ対策など)に焦点を当てているため、当社の業務環境に即した議論が可能です。
研修は以下のステップで進めました。
- 概要説明と重点ポイントの解説: 今回教材として活用する「情報セキュリティ10大脅威 2025」の全体像と活用方法、特に当社が注意すべき脅威(例:ランサムウェア、ビジネスメール詐欺、サプライチェーン攻撃)について、教材から抜粋し解説しました。
- 研修教材を使った自主学習と意見交換: 教材を使って自主学習を行いました。自習を行う際に注目するポイントは「当社の業務において、特にどの脅威が最も危険だと感じるか、そしてその理由は何か」と「その脅威に対して、私たち一人ひとりができる具体的な対策は何か」としました。これにより、受動的な受講ではなく、能動的に考え、意見を出し合う機会を創出しました。
- 「印象に残ったセキュリティ脅威と理由」の提出: 研修の締めくくりとして、受講者全員に**「最も印象に残ったセキュリティ脅威と、その脅威が印象に残った具体的な理由」**を提出してもらいました。これは、個々の理解度を確認するだけでなく、研修後の行動変容に繋げるための重要なステップと位置づけました。
研修の効果:社員の意識向上と行動変容への第一歩
研修後、提出された感想や意見を拝見し、今回の研修が予想以上の効果をもたらしたことを確信しました。特に印象的だったのは、以下のような具体的な声です。
- 「ランサムウェアが、まさか身近なファイル共有サービスを介して感染拡大する可能性があるとは知りませんでした。被害が出た場合を鑑み、小さい会社でもやらねばならないことをしっかり手順に落とすとともに、バックアップの仕組みを考えておかないといけないと感じた。自分のPCだけでなく、共有フォルダ内のデータも危ないという認識が持てました。」(代表取締役)
- 「ビジネスメール詐欺は、これまでは他人事だと思っていましたが、具体的な手口を知り、今後は送られてくるメールの差出人アドレスや内容をより注意深く確認しようと思いました。転職を経験しているので、転職時の顧客情報持ち出しという事例は身近に感じた。容易に可能であるのでセキュリティー強化や定期的な研修も含め対策が必要だと思います。」(総務部)
- 「当社も顧客のサプライチェーンの一部を形成しているので、サプライチェーン攻撃の標的となって顧客がセキュリティ被害にあった場合、当社に損害賠償責任が及ぶリスクがあると感じた。また,RaaSやディープフェイクなどの最新技術を適用するには多額の金銭的、人的投資が必要であるが、これらの投資がペイするほどにセキュリティの脅威がビジネス化してきていると感じた。」(コンサルタント)
- 「経験したことのある脅威、インシデントについては内容や対策が表面的な表現でも理解できるが、未経験な分野は具体的にどういうことが起こるのか、どういう行動をすればよいのかわからないので、実効的な対応ができるか疑問がある。可能な限り、詳細な内容を調査・確認して対応することを継続したい。」(コンサルタント)
- 「地政学的リスクに起因するサイバー攻撃は、前からそれに該当するといえる事案はあったが、ついにこのランキングでも、その存在が明示的になった。日ごろ、官公庁のお客さまが多いので、この点はますます着目すべきだし、特に地方公共団体ではその対応がまだまだ未成熟だと思う。その一方で、十分な対応を取るためのリソースが足りない事情もあると思う。ここがビジネスのポイントか。」(コンサルタント)
- 「サプライチェーン攻撃は、自社だけでなく関係先のセキュリティも常にリスクとして捉える必要があると再認識しました。情報管理やセキュリティへの配慮を一層徹底していきたいと考えています。」(広報)
これらの声からは、社員が単に知識を得ただけでなく、最新のITセキュリティ脅威に対する認識を深め、自身のITセキュリティに関する意識が大きく向上したことが明確に見て取れます。また、「今後どのように行動すべきか」という具体的な対策まで踏み込んだ意見も多く、今回の研修が単なる啓発活動に留まらず、社員一人ひとりの行動変容に繋がる第一歩となったことを強く感じています。
この意識向上は、日々の業務におけるパスワード管理の徹底、不審なメールへの警戒、情報共有の際の慎重さなど、具体的な行動の変化として現れることでしょう。社員一人ひとりがセキュリティの**「最後の砦」**であるという意識を持つことで、当社全体のセキュリティ体制は飛躍的に強化されます。
今後の展望:継続的な取り組みで「セキュリティ文化」を育む
今回の全社ITセキュリティ研修は、当社のITセキュリティ対策において非常に有意義な一歩となりました。しかし、ITセキュリティに「これで万全」という状態は存在しません。サイバー攻撃の手口は常に進化し、新たな脅威が次々と出現します。
私たちは、今回の研修を単なる一度きりのイベントで終わらせるつもりはありません。今後は、以下の点を重視し、継続的な取り組みを通じて「セキュリティ文化」を社内に根付かせていきたいと考えています。
- 定期的な研修・情報提供: 「情報セキュリティ10大脅威」は毎年更新されます。毎年、最新の脅威動向を共有し、社員の知識と意識を常に最新の状態に保つための定期的な研修を計画します。また、社内ポータルサイトやメールマガジンなどを活用し、日常的にセキュリティに関する注意喚起や情報提供を行っていきます。
- インシデント対応体制の強化: 万が一、セキュリティインシデントが発生した際に、迅速かつ適切に対応できるよう、社内での報告フローの明確化や、緊急時対応訓練なども検討していきます。
- 技術的な対策の継続的な見直し: 社員の意識向上と並行して、セキュリティシステムの導入・更新、脆弱性診断の実施など、技術的な側面からの対策も継続的に強化していきます。
- 社員からのフィードバックの収集: 研修後も社員からの疑問や懸念、改善提案などを積極的に収集し、今後のセキュリティ対策に活かしていきます。社員がセキュリティについて気軽に相談できる環境を整えることも重要です。
社員一人ひとりがセキュリティに対する高い意識を持ち、日々の業務で具体的な行動を実践することで、当社のITセキュリティレベルは確実に向上します。私たちは、**「守るべきは情報、そしてその先の信頼」**という共通認識のもと、今後も全社一丸となってセキュリティ対策に取り組んでまいります。
今後も当社は、最新の情報セキュリティ動向を踏まえた実践的な教育・対策を通じて、お客様の安全な事業運営を力強くサポートしてまいります。引き続きご期待ください。
コメントを残す