2025年8月26日、株式会社インターネットイニシアティブと株式会社ライトワークスは、「だまされるだけ強くなる!?情報セキュリティ教育の効果を上げる「分散学習」とは?~「経験と気付き」による新しいアプローチを解説~」と題したウェビナーを開催しました。
このレポートでは、当日のセミナーおよびQ&Aの一部を紹介します。
【開催概要】
開催日時:2025年8月26日(火)11:00〜12:00
費用:無料
形式:オンライン
スピーカー:
・株式会社インターネットイニシアティブ サービスプロダクト推進本部 営業推進部 担当部長 吉田 拓未氏
・株式会社ライトワークス ビジネスソリューション本部 営業推進部 部長 三浦 功嗣
※肩書はイベント実施当時のもの
ウェビナーの概要
サイバー攻撃が巧妙化する今、従来の詰め込み型の教育では従業員の行動変容を促すことは困難です。
本ウェビナーでは、セキュリティエキスパートである株式会社インターネットイニシアティブ(以降、IIJ)の吉田氏と、ライトワークスの三浦氏より、最新のサイバー攻撃事例から、これからの時代に求められる「分散学習」と「経験と気づき」を重視した、新しいセキュリティ教育のアプローチについて解説しました。
また、ライトワークスからは、「分散学習」のメソッドを活用した新サービスのデモ、および従業員の知識向上と担当者の負担軽減を両立する具体的な方法について情報提供が行われました。
多くの企業が陥るセキュリティ教育の「3つの課題」
IIJの吉田氏は、「現在多くの企業で実施されているセキュリティ教育は、年に1〜2回の集合研修が中心です。しかし、このやり方では知識が定着しないという根本的な課題があります」と語り、従来型の教育の3つの課題を挙げました。
- 課題1:年1回程度の低頻度では、研修直後から忘却が始まり、次の研修まで知識が維持できない。
- 課題2:限られた機会にすべての情報を詰め込もうとするため、受講者にとって消化不良となりやすい。
- 課題3:最新事例を反映した教材の準備から受講管理まで、担当者の負担が過大になっている。
一方で受講者側から見ると、業務との関連性が見えにくく、「あれもこれも気をつけろ」という一方的な内容になりがちで、学習意欲の維持が困難という現実があります。
進化するサイバー攻撃の脅威と従来型セキュリティ教育の課題
吉田氏は、最新のサイバー攻撃トレンドを紹介し、従来型教育の課題について語りました。
2025年1月に発生した自動車部品メーカーへのランサムウェア攻撃では、マイナンバー情報を含む重要データが漏洩しました。
「この攻撃の発端は、ユーザーのリモートアクセス認証情報が不正利用されたことでした。システム的なセキュリティ対策を講じていても、ユーザーの認証情報が盗まれれば正面突破されてしまいます」と吉田氏は警鐘を鳴らします。
特に注目すべきは「フィッシング・アズ・ア・サービス」の台頭です。これは114種類以上のブランドデザインに対応し、ユーザーが普段使用しているログイン画面に合わせて偽画面を自動生成するサービスで、「素人目には見抜くことが困難なレベルに達している」といいます。
さらに2025年7月には、半導体商社がビジネスメール詐欺により約2億5,600万円の損失を被る事件も発生しました。メールアカウントを乗っ取り、本人になりすまして偽の送金指示を出すなど、企業を狙った特殊詐欺が横行している現状が明らかになりました。
年々、巧妙化するサイバー攻撃から組織を守るには、従業員一人ひとりの意識向上が不可欠です。しかしながら、従来からある「年に1度の詰め込み型学習」では、セキュリティ意識を保つことに課題があります。
「分散学習」は、記憶を定着させる新たなアプローチ
従来型の学習では研修効果が薄いという課題に対して、新たなアプローチとなるのが「分散学習」です。
「歯磨きのように毎日こまめに」が理想
ライトワークスの三浦氏は、理想的な学習スタイルを「歯磨き」に例えます。
「歯磨きのように、毎日こまめに行うのが理想です。虫歯になった後で慌てて歯磨きをしても手遅れなように、インシデントが起きた後にセキュリティ教育をしても意味がありません」
この「こまめな学習」こそが「分散学習」の考え方であり、日頃からの継続的なケアが重要なのです。
科学的根拠に基づく「分散学習」アプローチ
分散学習の有効性は、「エビングハウスの忘却曲線」によっても裏付けられています。人は何かを記憶した1日後には7割以上を忘れてしまうとされていますが、適切なタイミングで「復習」を重ねることで、記憶を定着させることが可能です。
一度にまとめて学習するよりも、間隔を空けて少しずつ学習する方が、結果的に学習効率は高まるのです。この「思い出す」という行為が記憶を強固にする「テスト効果」であり、「一夜漬けはダメ」な理由でもあります。
「経験」が最大の防御!従業員の“気づき”を促す学習体験
分散学習で学習機会を増やす上で重要になるのが「質」です。本当の意味で行動変容を促すには、知識の詰め込みではなく、学習を通じて「経験と気づき」を得てもらう必要があります。
今日のサイバー攻撃は非常に巧妙です。だからこそ、吉田氏は「騙されるタイミングが重要なのです」と指摘します。
「本番で騙されたらインシデントになってしまいますが、学習の段階で『これは騙されるよね』というリアルな手口を体験しておくことは、強力なワクチンになります」
このリアルな手口を経験することで、「あれ、もしかしてこれって…」と違和感を覚える感覚を養い、たとえ一度騙されてもすぐに気づいて報告できれば、被害を最小限に食い止められます。
セキュリティ教育の最終目標は、従業員が実際の攻撃に遭遇した際に、冷静かつ適切な行動を取れるようにすることです。
攻撃者がどのような手口で騙そうとしてくるのかを「経験」として知っていれば、いざという時に「知っている攻撃テクニックだ」と気づくことができます。この気づきが、組織を救う最初の一手となるのです。
【解決策】「分散学習」と「経験」を実現する教育サービスとは
この新しいアプローチを実現するために、IIJ協力のもと、ライトワークスが開発したのが、教育コンテンツサービス「セキュリティアンカー」です。
特徴1:最新トレンドも取り入れたマイクロコンテンツ
IIJの専門家が協力した、最新の脅威トレンドをカバーする2〜3分の短い動画コンテンツを定期的に配信。多忙な従業員でも無理なく「分散学習」を実践できます。
特徴2:リアルな攻撃を「経験」し、気づきを促す
コンテンツの最大の特徴は、リアルな攻撃を経験できることです。偽の警告画面など、実際に攻撃を受けた際のPC画面を活用し、「自分だったらどうするだろう」と自分ごととして捉え、対処法を学べるように工夫されています。
特徴3:管理者の負担を軽減する運用・管理機能
専用サイトでコンテンツが一元管理され、従業員への配信通知も自動化できます。LMS(学習管理システム)と連携すれば受講履歴も自動で集約・管理が可能で、担当者は煩雑な管理業務から解放されます。
情報セキュリティの最新コンテンツが隔週で届く! ⇒ 「ラーニングハブ for セキュリティ」の詳細はこちら
セキュリティ対策評価制度への対応
ウェビナーでは、経済産業省が推進するセキュリティ対策評価制度についても言及されました。この制度は企業のセキュリティ対策レベルを星1〜5の5段階で評価するもので、2026年10月からの開始が予定されています。
星4の「標準的」レベルでは「経営陣を含む全てのユーザーに対するセキュリティ意識向上のための教育や研修の実施」が求められており、セキュリティ教育の制度化が進んでいることが分かります。
吉田氏は「セキュリティ教育は必須の時代です。ステークホルダーからも『なぜ御社は星4を取らないのか』といった追及を受ける可能性もあります」と現状認識を示しました。
こまめな学習習慣で、セキュリティインシデントに強い組織へ
サイバー攻撃の手口が巧妙化し続ける現代においては、セキュリティ教育のあり方を根本から見直す必要があります。
吉田氏は理想の教育を「こまめな水分補給」に例えます。「朝、水を一気飲みしたからといって、その日はもう水分補給が不要というわけにはいきません。それと同じで、セキュリティ知識も一度に詰め込むのではなく、継続的に学び続けることが重要なのです」
「短期間で繰り返す」分散学習と、「軽く騙される」経験を通じて、従業員一人ひとりの気づきのアンテナを鋭敏に保つこと。それが、予測不能な脅威に立ち向かうための、最も確実な組織防衛策といえるでしょう。
情報セキュリティの最新コンテンツが隔週で届く! ⇒ 「ラーニングハブ for セキュリティ」の詳細はこちら
