情報セキュリティ研修のテストの作り方は？すぐに使える公的資料を紹介

「セキュリティ研修が毎年同じ内容だ。大丈夫だろうか？」

「テストを実施しても、結局やりっぱなしになる」

人材育成や情報セキュリティの担当者様なら、このような悩みを一度は抱えたことがあるのではないでしょうか。

サイバー攻撃が巧妙化し、事業への影響が甚大になる中、従業員のセキュリティ意識向上は待ったなしの経営課題です。

本記事では、多くの企業が陥りがちな研修のマンネリ化を防ぎ、最新の知識を身につけられるテストの設計方法について紹介します。

多忙な担当者の皆様を力強くサポートするため、すぐに使える研修資料や、テスト問題作成に役立つ公的資料集もご用意しました。研修のブラッシュアップにご活用ください。

定番の事例から最新トピックまで、サイバーリスク対策を短時間で学べる！ ⇒ ライトワークスの情報セキュリティ研修を詳しく見る

LEARNING SHIP

情報セキュリティ教育とは？形骸化させない効果的な手法を解説

情報セキュリティ教育とは、情報資産を守るため従業員の行動を変える取組みです。この記事では、形骸化した研修を見直し、「やら…

情報セキュリティ研修におけるテストの目的とは

情報セキュリティ研修におけるテストの目的は、従業員の優劣をつけることや、合否を判定することではありません。その真の目的は、以下の3点にあります。

理解度の可視化

研修内容がどれだけ理解され、知識として定着しているかを測定します。

組織的な弱点の特定

組織全体、あるいは部署や役職ごとに、どの分野の理解が不足しているかを特定し、対策の優先順位を判断します。

意識の再確認と文化醸成

テストという機会を通じて、従業員一人ひとりにセキュリティの重要性を再認識してもらい、安全な行動を習慣化する文化を育みます。

このように、テストを単なる「成績の記録」で終わらせず、組織のセキュリティレベルを継続的に向上させるための「羅針盤」として活用してみましょう。

定番の事例から最新トピックまで、サイバーリスク対策を短時間で学べる！ ⇒ ライトワークスの情報セキュリティ研修を詳しく見る

効果的な「理解度テスト」を設計・作成する

情報セキュリティ研修における理解度テストは、研修の効果を可視化し、組織のセキュリティレベルを向上させるための重要な指標になります。設計段階で以下の点を考慮することが重要です。

テストの目的は「評価」ではなく「改善」のため

1章で述べたことと重なりますが、テストの目的は、従業員の評価ではありません。組織のセキュリティレベルを継続的に向上させるためにテストの設計を行いましょう。まず「このテストで何を明らかにしたいのか」を明確にします。

• 例1（知識レベル）：当社のパスワードポリシーの具体的なルールを理解しているか？
• 例2（判断レベル）：巧妙なフィッシングメールの兆候に気づき、危険な行動を回避できるか？
• 例3（行動レベル）：情報漏えいインシデントを認知した際に、社内ルールに従って正しく報告できるか？

研修内容や、自社のセキュリティポリシー、そして近年発生しているインシデントの傾向を基に、測定すべき項目を洗い出しましょう。

テストの目的に沿った問題形式の選定

テストで測定したい項目に応じて、問題の形式を使い分けることが効果的です。

知識だけでなく、実際の行動に結びつくかを測るために、シナリオ判断型の問題を必ず含めることを推奨します。

テスト作成に役立つ公的資料・リソース

ゼロから質の高いテスト問題を作成するのは大変です。リアルで実践的な問題作成に活用できる公的資料をご紹介します。

これらの資料から得たシナリオを、自社の業務内容や社内ルール、使用しているツール名などに置き換えることで、従業員が「自分事」として捉えやすい、より実践的な問題を作成できます。

テストの実施と結果の分析

公的資料などを活用して、自社に最適化したテストを作成できたら、いよいよテストの実施と結果の分析を行います。

実施方法

テストの対象が全従業員なのか、特定部門・チームなのか、あるいは協力会社など外部の対象者を含んでいるのかなどで、テストの実施規模や方法は異なります。

比較的小規模のテストであれば、Microsoft FormsやGoogleフォームなどのオンラインフォームを利用すると、配布、回収、自動採点が効率的に行えて便利です。

グループ会社を含む大規模なテストや、協力会社など外部の対象者が多い場合は、LMS（学習管理システム）を活用して、研修とテストを自動化することも視野に入れてみてください。

株式会社ライトワークス | 人材開発ソリューションパートナー

〔東京ガス株式会社〕8万ID・多様な受講者に対応！「限界だった独自システム」からの脱却で実現した、全社的な「知見のプラットフォーム」 | 株式会社ライトワークス

東京ガスのLMS導入事例。自社・協力会社が混在する8万IDの管理とeラーニングの課題を『CAMPUS』で解決！研修DX、…

また、テストの目的が「個人の評価ではなく、組織全体の弱点把握と改善のため」であることを事前に丁寧に伝え、「テストを受けなくてはならない」という従業員の心理的な負担を軽減しましょう。

テスト結果の分析方法

テストでは、点数だけを見るのではなく、その裏にある傾向を読み解くことが重要です。

設問別の正答率

正答率が特に低い問題は、研修内容が伝わりにくかったか、テーマ自体の難易度が高い可能性があります。次回の研修で重点的に解説すべきポイントが明確になるでしょう。

部署・役職別の分析

特定の部署で特定の分野の正答率が低い場合、その部署の業務内容に特有のリスクが潜んでいる可能性があります。

例：営業部で物理セキュリティに関する問題の正答率が低い → 直行直帰時のPC管理ルールが徹底されていない可能性

誤答の分析

特にシナリオ問題においては、「なぜその（誤った）選択肢が選ばれたのか」を考察することで、重要な示唆を得られます。

例：フィッシングメールの問題で「すぐにリンクをクリックする」を選んだ従業員が多い場合、「緊急性を煽られると冷静な判断ができなくなる」という組織的な弱点が浮き彫りになります。これは、単なる知識不足とは区別すべき、行動レベルでの課題を示唆しています。

定番の事例から最新トピックまで、サイバーリスク対策を短時間で学べる！ ⇒ ライトワークスの情報セキュリティ研修を詳しく見る

テスト結果の活用と継続的改善（PDCAサイクル）

これらのテスト結果は、セキュリティ教育のPDCAサイクルを回すための重要な起点です。テスト結果を基にした具体的な改善施策を見ていきましょう。

フィードバックとフォローアップ

テスト結果を受け、個人が特定されない形で、全体の平均点や間違いの多かった問題の解説を全社にフィードバックの形で共有しましょう。「多くの方がこの問題を間違えましたが、正解はこうです。なぜなら…」と伝えることで、全体の知識レベルを引き上げます。

正答率が著しく低い、あるいは危険な回答を選んだ従業員には、高圧的にならない形で個別に補習や面談のフォローアップの機会を設けます。「一緒に弱点を確認して、会社のリスクを減らしていきましょう」という協力的な姿勢が重要です。

研修プログラムの改善

テスト結果は、次回の研修をより効果的にするための最も客観的なデータです。正答率が低かった分野は、研修時間を増やしたり、より具体的な事例を交えたりするなど、教え方そのものを見直す材料にしましょう。

また、知識だけでなく、実践的な対応力を養うために、標的型メール訓練は極めて有効です。インシデントの早期発見・対応に繋がる「報告・連絡・相談」の文化を醸成することが、組織全体のリスク低減に直結します。

セキュリティ対策への反映

従業員の弱点が、技術的な対策でカバーできる場合もあります。例えば、フィッシングメールを見抜けない従業員が多いのであれば、訓練の強化と並行して、より高性能なメールフィルタリングシステムの導入を検討するなど、多層的な防御に繋げましょう。

このように、テストを起点として組織のセキュリティ対策全体を見直し、計画的かつ継続的なアプローチを通じて、従業員一人ひとりの意識と行動を着実に改善していくことが、情報セキュリティ担当者の重要な役割となります。

本記事でご紹介したIPAなどの公的資料やテスト結果の活用法、PDCAの回し方を、ぜひ貴社の研修企画にお役立てください。