2σ Guide

従業員セキュリティ教育・
標的型訓練の実務設計

標的型攻撃メール、BEC、認証情報詐取、インシデント通報、机上演習を、企業法務・個人情報保護・労務・内部統制の観点から統合して設計するための実務ポイントを整理します。

6類型 メール・BEC・通報・机上演習など
8段階 リスク評価から改善まで
5段階 成熟度モデルで現状把握
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

従業員セキュリティ教育・ 標的型訓練の実務設計

試す制度ではなく、報告と改善を制度化するための実務設計です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
従業員セキュリティ教育・ 標的型訓練の実務設計
試す制度ではなく、報告と改善を制度化するための実務設計です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 従業員セキュリティ教育・ 標的型訓練の実務設計
  • 試す制度ではなく、報告と改善を制度化するための実務設計です。

POINT 1

  • 従業員セキュリティ教育・標的型訓練の全体像
  • 試す制度ではなく、報告と改善を制度化するための実務設計です。
  • 結論 ― クリック率より、報告と改善を重視します
  • 安全に失敗できる制度
  • 複数指標で見る

POINT 2

  • 従業員セキュリティ教育・標的型訓練の定義と分類
  • 教育、訓練、監視、懲戒を分け、攻撃経路ごとに設計します。
  • 標的型攻撃メール
  • 認証情報入力誘導
  • ビジネスメール詐欺

POINT 3

  • 従業員セキュリティ教育・標的型訓練の法務論点
  • 実在第三者を装わない
  • 官公庁、金融機関、取引先、監査法人、法律事務所などの名称、ロゴ、酷似ドメインを無断で使う設計は避けます。
  • 実パスワードを保存しない
  • 入力を試みた事実だけを記録し、実パスワードや危険なコードを扱わない設計にします。

POINT 4

  • 従業員セキュリティ教育・標的型訓練のガバナンスとカリキュラム
  • 責任分界、役割別教育、教材形式を制度として結び付けます。
  • 訓練は情報システム部門だけで完結しません。
  • 読者にとって重要なのは、承認、データ閲覧、緊急停止、改善責任を事前に分ける点です。
  • なぜ重要かというと、経理、法務、人事、営業、研究開発、情報システムでは、攻撃者が使う文脈と守るべき情報が違うためです。

POINT 5

  • 従業員セキュリティ教育・標的型訓練の実務プロセス
  • 1. 目的と対象者が明確ですか:守る情報、対象部署、取得データ、評価指標を確認します。
  • 2. 実在第三者や危険な技術を使いますか:実在名称、酷似ドメイン、実パスワード、危険なコードを確認します。
  • 3. 設計を見直します:名称、ドメイン、技術仕様、取得データを変更し、必要に応じて専門家へ確認します。
  • 4. 周知と緊急停止を整えます:一般周知、問い合わせ先、停止条件、実施中監視を準備します。

POINT 6

  • 従業員セキュリティ教育・標的型訓練の評価指標と委託契約
  • クリック率依存を避け、契約と規程まで接続します。
  • 情報セキュリティ基本方針
  • 情報セキュリティ規程
  • 個人情報取扱規程

POINT 7

  • 従業員セキュリティ教育・標的型訓練の失敗例と業種別重点
  • 騙すことが目的になる
  • 目的を報告、初動、改善に置き、難易度を記録して教育内容と対応させます。
  • 実在組織を装う
  • 架空名称、社内承認ドメイン、外部影響の事前評価を使います。

POINT 8

  • 従業員セキュリティ教育・標的型訓練の中小企業対応とFAQ
  • 最小構成から始め、一般情報型のFAQで不安を減らします。
  • 基本方針と報告先
  • パスワード・MFA
  • 年1回以上の教育と訓練

まとめ

  • 従業員セキュリティ教育・ 標的型訓練の実務設計
  • 従業員セキュリティ教育・標的型訓練の全体像:試す制度ではなく、報告と改善を制度化するための実務設計です。
  • 従業員セキュリティ教育・標的型訓練の定義と分類:教育、訓練、監視、懲戒を分け、攻撃経路ごとに設計します。
  • 従業員セキュリティ教育・標的型訓練の法務論点:個人情報、営業秘密、内部統制、労務を同時に確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

従業員セキュリティ教育・標的型訓練の全体像

試す制度ではなく、報告と改善を制度化するための実務設計です。

従業員セキュリティ教育・標的型訓練は、不審なメールを見抜く練習だけではありません。個人情報、営業秘密、送金権限、認証情報、委託先、危機広報、内部統制を横断して、組織が早く気づき、早く報告し、早く改善するための実務制度です。

次の重要ポイントは、この制度を「従業員を試す仕組み」ではなく「組織が安全に失敗し、報告し、改善する仕組み」として読むための要点です。読者にとって重要なのは、個人の注意力だけでなく、報告導線、初動体制、技術対策、法的説明可能性を一体で確認する視点を持てる点です。

結論 ― クリック率より、報告と改善を重視します

従業員セキュリティ教育・標的型訓練では、クリック率だけで成果を決めず、報告率、報告までの時間、CSIRTや法務への連携、技術的防御の効き方、教育後の行動変化を合わせて評価します。

次の一覧は、制度設計で特に分けて考える3つの視点を表しています。なぜ重要かというと、教育、訓練、監視、懲戒を混同すると、従業員の信頼やプライバシー、労務管理に影響しやすいためです。各項目から、目的とデータ利用を先に決める必要があることを読み取れます。

目的

安全に失敗できる制度

訓練は、失敗者を探すためではなく、攻撃に近い状況で報告と初動を確認するために行います。

評価

複数指標で見る

クリック、報告、初動、技術対策、業務手順、文化、法務証跡を分けて評価します。

改善

組織側の弱点を直す

訓練結果は、報告ボタン、承認手順、MFA、委託先管理、教育内容の改善へつなげます。

次の注意喚起は、このページの情報を読む際の前提を示しています。なぜ重要かというと、訓練設計は会社ごとの規程、労務環境、個人情報の取扱い、委託契約によって結論が変わるためです。

注意このページは一般的な情報提供です。個別の労務対応、個人情報の取扱い、委託契約、海外拠点対応、実際の訓練仕様は、事案の性質に応じて弁護士等の専門家へ相談する必要があります。
Section 01

従業員セキュリティ教育・標的型訓練の定義と分類

教育、訓練、監視、懲戒を分け、攻撃経路ごとに設計します。

従業員セキュリティ教育・標的型訓練では、似た言葉を同じ意味で使わないことが重要です。次の比較表は、意識啓発、教育、訓練、机上演習、監視、人事対応の違いを整理したものです。列ごとの差を見ることで、取得データや労務上の配慮をどこで強めるべきかを読み取れます。

概念内容典型例法務上の注意点
セキュリティ意識啓発基本的な注意点を知ってもらう活動です。eラーニング、動画、社内ニュース受講記録だけでは実効性を説明しにくい場合があります。
セキュリティ教育具体的な知識、ルール、判断基準を教える活動です。個人情報、営業秘密、MFA、パスワード研修就業規則、情報管理規程、個人情報規程との整合が必要です。
標的型訓練実際の攻撃に近い状況で判断、報告、初動を確認する活動です。標的型攻撃メール、BEC、添付ファイル、通報訓練目的、対象、取得データ、第三者影響、労務配慮を事前に設計します。
机上演習経営層、法務、広報、CSIRTなどがシナリオに沿って対応を確認します。ランサムウェア、漏えい、取引先通知の演習対外公表、当局報告、証拠保全、秘匿性への配慮が論点です。
監視・モニタリングシステム利用状況や訓練結果を確認する活動です。メールログ、EDR検知、報告ログ分析利用目的、通知、権限、保存期間を明確にします。
懲戒・人事評価規律違反への対応や評価です。重大な規程違反への処分、改善指導訓練結果を機械的に低評価や処分へ結び付ける設計は慎重に扱います。

次の一覧は、標的型訓練をメールだけに限定せず、現代の攻撃経路に合わせて分類したものです。読者にとって重要なのは、経理、法務、採用、研究開発、役員など、部署ごとに受ける攻撃が異なる点です。各分類から、自社の守る情報や業務に近い訓練を選ぶ必要があることを読み取れます。

01

標的型攻撃メール

不審メールの開封、リンククリック、添付ファイル、報告行動、初動対応を確認します。

02

認証情報入力誘導

偽ログイン環境を使う場合でも、実パスワードを取得、保存、平文記録しない設計が原則です。

03

ビジネスメール詐欺

送金、振込先変更、請求書差替えに対して、二経路確認や承認手順を踏めるかを確認します。

04

個人情報・営業秘密

クラウド共有、外部送信、USB、私物端末、生成AI入力などの判断を扱います。

05

インシデント通報

誰に、どの経路で、どの情報を添えて、どの程度の時間で報告できるかを測ります。

06

経営層を含む机上演習

当局報告、本人通知、取引先説明、開示、記者対応、取締役会報告まで確認します。

Section 03

従業員セキュリティ教育・標的型訓練のガバナンスとカリキュラム

責任分界、役割別教育、教材形式を制度として結び付けます。

訓練は情報システム部門だけで完結しません。次の役割分担表は、経営、CISO、法務、人事、個人情報保護、CSIRT、内部監査、広報、ベンダが何を担うかを整理したものです。読者にとって重要なのは、承認、データ閲覧、緊急停止、改善責任を事前に分ける点です。

役割主な責任
取締役会・経営会議サイバーリスクを経営リスクとして扱い、方針、予算、責任体制を承認します。
CISO・情報セキュリティ責任者プログラム全体、リスク評価、技術対策との統合を担います。
法務部・企業内弁護士法令、契約、第三者影響、労務、個人情報、不正アクセスとの境界、証拠保全を確認します。
人事・労務従業員説明、労使協議、就業規則、人事評価、懲戒、メンタルヘルス配慮を確認します。
個人情報保護担当訓練ログの個人データ性、利用目的、委託、保存、越境移転を確認します。
CSIRT・SOC報告受付、分析、初動、演習評価、対応手順の改善を担います。
内部監査制度と改善の有効性、証跡、統制整備と運用状況を評価します。
広報誤拡散、取引先問い合わせ、対外説明、SNS対応を準備します。
セキュリティベンダ合意範囲内で訓練を実施し、データ保護、削除、報告を行います。

次の一覧は、全従業員向けと役割別教育で扱うテーマを表しています。なぜ重要かというと、経理、法務、人事、営業、研究開発、情報システムでは、攻撃者が使う文脈と守るべき情報が違うためです。各行から、自社の職務ごとに重点テーマを変える必要があることを読み取れます。

対象重点テーマ
全従業員情報資産分類、不審なメール・チャット・SMS・電話、報告ルート、MFA、クラウド、生成AI、個人情報、営業秘密、在宅勤務、SNS、インシデント時の心理を扱います。
経営者・役員経営者詐称、M&A情報、ランサムウェア時の意思決定、開示、公表、取締役責任を扱います。
経理・財務BEC、振込先変更、二経路確認、請求書改ざん、海外送金、承認権限を扱います。
法務秘密保持、訴訟資料、電子契約、外部専門家なりすまし、相手方確認、証拠保全を扱います。
人事履歴書添付ファイル、健康情報、マイナンバー、従業員情報、退職者対応を扱います。
営業・研究開発取引先なりすまし、クラウド共有、外出先、顧客情報、ソースコード、設計情報、共同研究、生成AI入力を扱います。
情報システム・CSIRT特権ID、ログ、EDR、メールセキュリティ、初動封じ込め、証拠保全、法務連携を扱います。

次の方法一覧は、教材形式を組み合わせる考え方を示しています。読者にとって重要なのは、年1回の長い研修だけでは行動変化を測りにくい点です。短時間教材、実演、演習、再教育を組み合わせると、日常業務に近い判断を学びやすくなります。

01

短時間教材

5分から10分の動画、部署別ケース、小テストを使い、日常判断に結び付けます。

基礎教育
02

即時フィードバック

クリック後に責める表現を避け、不審点、報告先、実際に起きた場合の初動を短く示します。

再教育
03

報告ボタンの実演

クリックしないことだけでなく、クリックしたかもしれない時点で報告する動きを練習します。

報告文化
Section 04

従業員セキュリティ教育・標的型訓練の実務プロセス

8段階で目的、データ、実施、改善を接続します。

標的型訓練は、思いついた文面を配信する作業ではありません。次の時系列は、リスク評価から改善までの8段階を表しています。順番に意味があり、前半で目的とデータを絞り、後半で実施、フィードバック、分析、改善に接続する点を読み取れます。

Step 1

リスク評価

個人データ、営業秘密、送金権限、認証情報、特権ID、研究開発情報、委託先など、何を守る訓練かを明確にします。

Step 2

目的・指標・データ項目

識別力、報告体制、CSIRT初動、経理手順、個別再教育、経営報告のどれを測るかに応じ、取得データを最小化します。

Step 3

法務・労務・個人情報レビュー

目的、対象、保存期間、閲覧者、人事利用、ベンダ契約、第三者影響、メンタルヘルス、緊急停止を確認します。

Step 4

シナリオ設計

現実の攻撃傾向に基づきつつ、過度な欺罔、第三者侵害、心理的負荷を避けます。

Step 5

一般周知

制度として訓練を行うこと、取得データ、利用目的、問い合わせ先を周知します。具体的な日時や文面は知らせない設計もあります。

Step 6

実施・監視・緊急停止

外部拡散、第三者問い合わせ、過度な不安、実インシデントとの混同、本物の攻撃の同時発生を監視します。

Step 7

即時フィードバック

クリック者には責める表現を避け、報告者には肯定的な反応を返します。

Step 8

結果分析と改善

個人の失敗ではなく、報告導線、技術対策、承認手順、教育、経営報告の弱点を抽出します。

次の判断の流れは、実施前に止めるべき訓練か、条件を調整して進められる訓練かを見分けるためのものです。読者にとって重要なのは、現実性だけでなく、第三者影響、データ保護、心理的負荷、安全性の分岐を先に確認する点です。

安全に実施できるかを確認する判断の流れ

目的と対象者が明確ですか

守る情報、対象部署、取得データ、評価指標を確認します。

実在第三者や危険な技術を使いますか

実在名称、酷似ドメイン、実パスワード、危険なコードを確認します。

該当する
設計を見直します

名称、ドメイン、技術仕様、取得データを変更し、必要に応じて専門家へ確認します。

該当しない
周知と緊急停止を整えます

一般周知、問い合わせ先、停止条件、実施中監視を準備します。

Section 05

従業員セキュリティ教育・標的型訓練の評価指標と委託契約

クリック率依存を避け、契約と規程まで接続します。

訓練の成果は、クリック率だけでは判断できません。次の表は、認識、報告、初動、業務手順、教育、技術、文化、改善、法務の観点で指標を整理したものです。読者にとって重要なのは、同じクリック率でも難易度や業務特性によって意味が変わる点です。

分類指標読み取り方
認識開封率、クリック率、添付ファイル開封率不審性を見抜けたかを見ますが、難易度補正が必要です。
報告報告率、報告までの時間、報告内容の十分性組織が早期検知できるかを測ります。
初動受付時間、トリアージ時間、封じ込め時間報告後のCSIRTや情報システム部門が機能するかを確認します。
業務手順二経路確認率、承認逸脱率、振込停止率BECなどの業務詐欺に手順が耐えられるかを見ます。
教育再教育完了率、理解度テスト、アンケート教育が理解され、次の行動に結び付いたかを確認します。
技術メールフィルタ検知率、MFA阻止率、EDR検知率人に届く前や被害前に止められるかを確認します。
文化報告しやすさ、叱責への不安、上司の反応隠さず報告できる組織かを見ます。
法務規程整備、周知記録、委託契約、保存・削除後から説明できる制度として運用されているかを確認します。

次の比較表は、外部ベンダへ委託する際に契約・仕様書で確認する事項を示しています。なぜ重要かというと、標準サービスの利用でも会社側が説明責任を負うためです。業務範囲、禁止事項、データ保護、成果物の各列から、契約で曖昧にしない項目を読み取れます。

区分確認事項
業務範囲訓練種別、対象者数、送信回数、シナリオ数、対象ドメイン、訓練用サーバ、レポート、再教育、サポート、緊急停止、削除を定めます。
禁止事項実パスワード取得、危険なコード配布、無断の外部名称・ロゴ利用、対象外送信、無断再委託、データ二次利用、結果の外部公表を禁止します。
データ保護取得データ、保存場所、アクセス権限、暗号化、再委託、国外移転、保存期間、削除証明、事故時通知、監査権限を定めます。
成果物と証跡訓練計画書、レビュー用シナリオ、対象リスト、配信結果、集計レポート、個人別レポート、改善提案、削除証明を合意します。

次の一覧は、社内規程に入れるべき項目を文書別に整理したものです。読者にとって重要なのは、単発通知だけでは継続運用しにくい点です。どの規程へ何を入れるかを見ることで、教育、ログ、懲戒、インシデント対応を文書体系に接続できます。

方針

情報セキュリティ基本方針

経営リスクとして扱うこと、教育・訓練を継続すること、報告文化を重視することを定めます。

規程

情報セキュリティ規程

教育対象、受講義務、報告義務、ログ取得、訓練結果の利用範囲、委託先義務を定めます。

個人情報

個人情報取扱規程

従業者教育、訓練ログ、委託先管理、漏えい時の初動、本人通知体制を定めます。

労務

就業規則・懲戒規程

遵守義務、会社システム利用、監視・ログ取得の根拠、訓練結果の機械的利用を避ける方針を定めます。

Section 06

従業員セキュリティ教育・標的型訓練の失敗例と業種別重点

失敗者探しを避け、業種ごとのリスクと机上演習へ広げます。

訓練でよくある失敗は、制度の目的を狭く捉えたときに起こります。次の一覧は、失敗例と改善策を対にしたものです。なぜ重要かというと、短期的な緊張感よりも、長期的に報告される文化を守る方が実インシデント対応に役立つためです。

騙すことが目的になる

目的を報告、初動、改善に置き、難易度を記録して教育内容と対応させます。

実在組織を装う

架空名称、社内承認ドメイン、外部影響の事前評価を使います。

クリック率だけを経営報告する

技術的防御、報告率、初動時間、改善施策、必要予算をセットで報告します。

訓練データを過剰保存する

保存期間、アクセス権限、集計化、削除、再教育目的の限定を明確にします。

ベンダ任せになる

法務、人事、個人情報保護、CISOがシナリオを確認し、契約と仕様書で禁止事項を定めます。

失敗者を晒す

個人名を出さない集計、限定的な個別フォロー、成功行動の称賛を基本にします。

次の比較表は、業種別に重点を置くべき論点を示しています。読者にとって重要なのは、同じ標的型訓練でも、金融、医療、製造、IT、専門家組織、教育研究では守るべき情報と初動が違う点です。

業種重点論点
金融機関BEC、顧客情報、AML/CFT、フィッシング、委託先、金融庁対応、システムリスク管理を扱います。
医療・ヘルスケア患者情報、ランサムウェアによる業務停止、医療機器、研究データ、業務継続、紙運用への切替を扱います。
製造業・研究開発設計図、製造条件、ソースコード、サプライチェーン、OT環境、海外拠点、輸出管理を扱います。
IT・SaaS企業顧客データ、APIキー、クラウド権限、CI/CD、脆弱性情報、インシデント公表、ログ管理を扱います。
専門家組織依頼者情報、M&A、訴訟、税務、監査資料、電子署名依頼、クラウド共有、守秘義務を扱います。
教育・研究機関研究データ、学生情報、共同研究、補助金、海外研究者との連絡、知的財産、生成AI利用を扱います。

次の一覧は、法務・経営層を巻き込む机上演習で扱う代表シナリオです。重要なのは、メール訓練だけでは重大事故時の意思決定を測れない点です。各項目から、証拠保全、当局報告、本人通知、取引先説明、公表、取締役会報告まで練習する必要があることを読み取れます。

ランサムウェア

業務停止と漏えい疑い

暗号化、バックアップ、取引先影響、身代金要求、警察・専門ベンダ連絡、本人通知、公表を確認します。

BEC

送金・振込先変更

海外取引先、役員、M&A案件、専門家を装う依頼に対し、銀行連絡、警察相談、内部不正可能性を確認します。

個人情報漏えい

誤送信・共有設定ミス

ログ確認、漏えい等報告の要否、本人通知、二次被害防止、コールセンター、Web公表を確認します。

Section 07

従業員セキュリティ教育・標的型訓練の中小企業対応とFAQ

最小構成から始め、一般情報型のFAQで不安を減らします。

中小企業でも、大企業と同じ体制を一度に整える必要はありません。次の一覧は、最小構成として優先したい項目を表しています。なぜ重要かというと、専任部門がなくても、報告先、MFA、送金確認、バックアップ、訓練記録を整えることで初動の遅れを減らせるためです。

最小構成

基本方針と報告先

情報セキュリティ基本方針、個人情報・営業秘密ルール、不審な連絡の報告先を整えます。

認証

パスワード・MFA

パスワードとMFAのルール、送金・振込先変更の二経路確認を決めます。

継続

年1回以上の教育と訓練

基礎教育、不審メール対応訓練、クリック後の再教育、簡易記録、次回改善を回します。

復旧

連絡先とバックアップ

委託先・クラウド確認、事故時連絡先、バックアップ確認を用意します。

次の成熟度表は、教育・訓練がない状態から、リスクベースで継続改善する状態までを5段階で整理したものです。段階の順番に意味があり、自社がどの位置にいるかを見ることで、次に整えるべき対象を読み取れます。

レベル状態典型的課題
レベル0教育・訓練がありません。インシデント時に報告先が分からない状態です。
レベル1年1回の一般教育のみです。受講記録はありますが、行動変化が分かりにくい状態です。
レベル2標的型メール訓練を実施しています。クリック率中心で、法務・労務・個人情報配慮が弱い場合があります。
レベル3役割別訓練と報告訓練を実施しています。結果分析と技術対策の連携が課題になります。
レベル4CSIRT、法務、経営層演習と連動しています。改善計画、監査証跡、委託先連携の整備が進みます。
レベル5リスクベースで継続改善しています。教育、技術、業務手順、文化、経営報告が統合されています。

次のチェックリスト表は、訓練の実施前、実施中、実施後に確認する項目を整理したものです。なぜ重要かというと、訓練は配信して終わりではなく、事前設計、実施中の監視、実施後の改善がそろって初めて説明可能な制度になるためです。各列から、どの時点で何を確認すべきかを読み取れます。

時点主な確認事項
実施前目的、承認、対象者、取得データ、利用目的、保存期間、閲覧権限、人事評価・懲戒との関係、社内規程、一般周知、労使協議の要否、シナリオの法務レビュー、実在組織名・商標・ロゴ・酷似ドメインの回避、メンタルヘルス配慮、ベンダ契約、緊急停止条件、実インシデント発生時の切替手順を確認します。
実施中送信範囲、訓練用リンク、報告窓口、CSIRT・IT部門の識別、実インシデントとの混同、外部問い合わせ、SNS拡散、過度な苦情・不安、緊急停止連絡先を確認します。
実施後集計レポート、個人別データの共有範囲、クリック者への再教育、報告者への肯定的フィードバック、報告率・初動時間、技術的対策、業務手順、法務・個人情報保護上の課題、経営報告、保存期間経過後の削除、次回計画への反映を確認します。

従業員向けFAQ

訓練メールか本物の攻撃か分からない場合はどう扱いますか。

一般的には、自分だけで判断せず、社内の不審な連絡の報告窓口へ報告する運用が安全とされています。外部の差出人へ直接確認したり、SNSへ投稿したりすると、情報が拡散する可能性があります。具体的な報告先や添付方法は、会社の規程や手順を確認する必要があります。

間違ってクリックした場合、どのように扱われますか。

一般的には、早く報告するほど被害を抑えやすいとされています。訓練の目的は個人を責めることではなく、会社全体の対応を改善することにあります。ただし、実際の取扱いは社内規程、訓練目的、取得データの利用方針によって変わる可能性があります。

訓練結果は人事評価に使われますか。

一般的には、教育、再教育、報告体制、技術対策、業務手順の改善に利用する設計が望ましいとされています。個人を不当に扱う目的での利用は避けるべきです。ただし、悪意ある行為や重大な規程違反がある場合は、社内規程に基づき個別に判断される可能性があります。

訓練で入力したパスワードは保存されますか。

安全な訓練では、実パスワードを保存せず、認証情報の入力を試みた事実だけを記録する設計が望ましいとされています。会社は、訓練仕様を確認し、実パスワードを取得しないように設計する必要があります。

なぜ抜き打ちに近い形で訓練を行う場合がありますか。

一般的には、実際の攻撃が予告なく届くため、実際に近い状況で報告経路や初動対応を確認する必要があるとされています。ただし、会社は制度として訓練を行うこと、取得データの範囲、利用目的、問い合わせ先を周知する必要があります。

Section 08

従業員セキュリティ教育・標的型訓練のまとめ

報告文化と改善サイクルを守ることが、制度の中心です。

従業員セキュリティ教育・標的型訓練の価値は、従業員を騙して数字を出すことではありません。従業員が安全に学び、疑わしいものを早く報告し、組織が迅速に初動し、法務、個人情報保護、労務、内部監査、経営が改善を回す点にあります。

次の表は、経営層への報告と専門家ごとの関与ポイントを整理したものです。読者にとって重要なのは、訓練結果を「従業員の注意不足」に閉じず、組織としてどのリスクをどこまで低減するかという経営判断につなげる点です。各行から、報告書に入れる項目と専門家が確認する観点を読み取れます。

観点確認・報告する内容
経営層への報告実施目的、実施日、対象者、対象範囲、シナリオ概要、法務・個人情報・労務レビュー、技術的防御、開封率・クリック率・報告率、報告までの時間、CSIRT初動、部署別・役割別傾向、業務手順上の問題、技術投資の必要性、教育改善案、重大リスク、次回計画、残リスク、必要予算を含めます。
法務・外部専門家個人情報保護、労働法、会社法、契約、不正競争防止、不正アクセス、刑法、業法、海外法制、証拠保全の交点として訓練設計を確認します。
法務・コンプライアンス担当社内規程、教育記録、通報制度、内部統制、委託先管理、リスク委員会、取締役会報告へ訓練結果を接続します。
個人情報保護担当訓練ログの個人データ性、利用目的、保存期間、アクセス権限、委託先管理、越境移転、本人対応を確認します。
労務担当心理的安全性、就業規則、懲戒、労使協議、ハラスメント、メンタルヘルスへの影響を確認します。
内部監査・会計領域IT統制、J-SOX、証跡、委託先管理、財務報告リスク、BECや振込先変更詐欺への統制を確認します。
経営者・取締役訓練を費用ではなく、損失回避、事業継続、信用維持、取締役会の監督、ステークホルダーへの説明可能性への投資として評価します。

次の要点は、ここまでの内容を実務判断に使いやすい形でまとめたものです。なぜ重要かというと、訓練の各論を検討する際にも、目的、データ、第三者影響、報告文化、経営報告という軸に戻る必要があるためです。

要点実務上は、目的を明確にする、教育・訓練・監視・懲戒を区別する、訓練ログの個人データ性を考える、実在第三者を装わない、実パスワードや危険なコードを扱わない、クリック率だけで評価しない、報告文化を作る、関係部門を巻き込む、訓練後の改善と経営報告まで制度化する、という流れが重要です。

この制度は、企業法務の周辺テーマではなく、企業の信頼と事業継続を守る中核的なガバナンス活動です。専門家が関与する価値は、訓練後のトラブル処理だけでなく、訓練前の設計、規程、契約、データ保護、労務配慮、経営報告を同時に整える点にあります。

Reference

この記事の参考情報源

公的機関・制度資料

  • IPA 独立行政法人情報処理推進機構「組織における標的型攻撃メール訓練は実施目的を明確に」
  • 国家サイバー統括室「攻撃メール訓練の目的や方法を見直すヒント」
  • 経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver.3.0」
  • IPA「サイバーセキュリティ経営ガイドライン Ver.3.0 実践のためのプラクティス集」
  • IPA「情報セキュリティ10大脅威」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会FAQ(従業者モニタリングに関する解説)
  • e-Gov法令検索「個人情報の保護に関する法律」
  • 経済産業省「営業秘密を守り活用するための資料」
  • e-Gov法令検索「会社法」「会社法施行規則」「不正アクセス行為の禁止等に関する法律」「刑法」

国際的なセキュリティ資料

  • NIST SP 800-50 Rev.1「Building a Cybersecurity and Privacy Learning Program」
  • NIST「The NIST Cybersecurity Framework 2.0」
  • NIST「Phishing」
  • NIST「Phishing With a Net ― The NIST Phish Scale and Cybersecurity Awareness」
  • NIST SP 800-53 Rev.5「Security and Privacy Controls for Information Systems and Organizations」
  • UK National Cyber Security Centre「Phishing attacks ― defending your organisation」
  • CISA「Phishing Guidance ― Stopping the Attack Cycle at Phase One」

研究・実証資料

  • フィッシング訓練の有効性に関する実証研究
  • フィッシング訓練後のストレスと自己効力感に関する研究