【テンプレ付き】中小企業の「セキュリティ教育」年間計画の作り方 ── 従業員のヒューマンエラーを減らす仕組み
現役情シス10年目(社会インフラ系・5,000名規模)が、中小企業向けにセキュリティ教育の年間計画テンプレートを公開。半期1回の標的型メール訓練・階層別教育・習熟度テスト・無料教材の活用法を、自社で運用してきた「クリック率1回目約3%/世代別の傾向/上長経由の受講督促」までまとめて解説。明日から始められる実践ガイドです。
「セキュリティ研修、去年やったっけ?」——もしそんな状態なら、この記事はまさに今のあなたの会社のために書かれています。
IPAの「2024年度 中小企業における情報セキュリティ対策に関する実態調査」によると、中小企業の約5割がセキュリティ教育を実施していると回答しています。裏を返せば、約半数の中小企業では従業員向けのセキュリティ教育が行われていないということです。
セキュリティ対策は技術的な防御だけでは不十分です。どれだけ高価なセキュリティ機器を導入しても、たった1人の従業員が不審なメールの添付ファイルを開いてしまえば、会社全体に被害が及びます。ランサムウェア被害の6割が中小企業で発生している現実を踏まえると(詳しくは「ランサムウェア被害の5つの防御策」をご覧ください)、従業員一人ひとりのセキュリティ意識を高める「教育」こそが、最もコストパフォーマンスの高い対策と言えるでしょう。
本記事では、ITに詳しくない中小企業の社長・IT担当者でも明日から始められるセキュリティ教育の年間計画の作り方を、テンプレート付きで解説します。
想定読者
- 中小企業の経営者・経営層の方
- 情報システム部門(情シス)の担当者の方
- セキュリティ教育を「やらなきゃ」と思いつつ、何から始めればいいか分からない方
- SCS評価制度の★3取得に向けて、教育体制を整備したい方
この記事で得られること
- なぜ中小企業にセキュリティ教育が必要なのか(最新の脅威動向と公的機関の注意喚起)
- セキュリティ教育の年間計画テンプレート(全社教育+階層別教育+標的型メール訓練)
- 教育コンテンツの具体的な内容と無料教材の活用法
- 標的型メール訓練の具体的な実施手順
- 習熟度テスト・グループ討議の設計方法
- 教育効果の測定方法とPDCAの回し方
- 中小企業のセキュリティ教育事例
本記事の信頼性
- 大手SIerで複数社のITコンサル・システム開発案件に従事し、外部から社内SEを見てきた経験
- 事業会社の情報システム部で社内SEとして勤務した経験
- IPA「中小企業の情報セキュリティ対策ガイドライン」に準拠
私が情シスとして実際に運用してきた「効くセキュリティ教育」の現場感
私は現職(社会インフラ系企業・従業員約5,000名)の情報システム部で 半期に1回の標的型メール訓練と全社セキュリティ教育を10年運用 してきました。直近の請求書テーマでの訓練ではクリック率は 1回目で約3%。ただし数字以上に効いたのは、結果を年代別に集計してから次の打ち手を決めたこと です。クリック率は世代別で大きくばらつき、特に 20代と50〜60代でクリック率が高い 傾向が見えました。20代は「業務メールに不慣れで反射的に開く」、50〜60代は「メール量が多く一件あたりの判断時間が短い」と背景が違うため、該当層に絞ったeラーニングを別建てで配信 し、感想提出を必須にする運用に切り替えています。
もう一つ運用で効いた工夫が eラーニング受講督促を本人ではなく上長経由で送る ことです。本人宛だけでは未受講のまま流れがちですが、上長から「受講してね」と一言添えてもらうと受講率が一気に跳ね上がります。組織が大きくても小さくても、「人は本人宛のリマインドより上長からの一言で動く」のは同じです。最終的に経営層に報告すべき指標は訓練のクリック率ではなく “業務情報の社外持ち出し件数” などの実害件数 であり、上記の運用に切り替えた結果、実害件数は明らかに減少しました。本記事の年間計画テンプレートは、こうして自社で10年回した結果を中小企業向けに圧縮したものです。
目次
- 【なぜ必要か】セキュリティ教育が中小企業の「生命線」になる理由
- 【2026年最新】公的機関が発信する注意喚起とセキュリティ動向
- 【全体像】セキュリティ教育の3本柱
- 【テンプレート】セキュリティ教育 年間計画表
- 【第1の柱】全社員向けセキュリティ教育の進め方
- 【第2の柱】階層別セキュリティ教育の設計
- 【第3の柱】標的型メール訓練の実施手順
- 【効果を高める】習熟度テストとグループ討議の設計
- 【教材ガイド】無料・低コストで使えるセキュリティ教材一覧
- 【事例紹介】中小企業のセキュリティ教育 成功パターン
- 【効果測定】教育の成果を「見える化」する方法
- よくある質問(FAQ)
- まとめ:セキュリティ教育は「仕組み」で回す
【なぜ必要か】セキュリティ教育が中小企業の「生命線」になる理由
セキュリティ事故の多くは「人」が起点
サイバー攻撃というと、高度な技術を使ったハッキングを想像するかもしれません。しかし実際には、被害の多くは「人のミス」から始まっています。
メール・添付ファイル関連
graph TB
A1["ヒューマンエラー"] --> B1["リンクをクリック"]
A1 --> D1["宛先を間違えて送信"]
A1 --> E1["不審なファイルを開く"]
B1 --> F1["🔴 ランサムウェア"]
D1 --> H1["🔴 顧客情報流出"]
E1 --> I1["🔴 マルウェア感染"]
style A1 fill:#dc2626,stroke:#b91c1c,color:#fff
style B1 fill:#ea580c,stroke:#c2410c,color:#fff
style D1 fill:#ea580c,stroke:#c2410c,color:#fff
style E1 fill:#ea580c,stroke:#c2410c,color:#fff
style F1 fill:#7f1d1d,stroke:#991b1b,color:#fff
style H1 fill:#7f1d1d,stroke:#991b1b,color:#fff
style I1 fill:#7f1d1d,stroke:#991b1b,color:#fffデータ持ち出し関連
graph TB
A2["ヒューマンエラー"] --> C2["USBでデータ持ち出し"]
C2 --> G2["🔴 情報漏洩・損害賠償"]
style A2 fill:#dc2626,stroke:#b91c1c,color:#fff
style C2 fill:#ea580c,stroke:#c2410c,color:#fff
style G2 fill:#7f1d1d,stroke:#991b1b,color:#fff2025年に公表されたセキュリティインシデントは559件(1日あたり約1.5件のペース)に達し、警察庁のデータではランサムウェア被害の約6割が中小企業で発生しています。しかも、感染経路の特定ができないケースが約8割を占めており、基本的なセキュリティリテラシーの欠如が根本原因の一つと考えられています。
セキュリティ教育の対象は「全従業員」
ここで強調しておきたいのは、セキュリティ教育の対象は正社員だけではないということです。
セキュリティは「1人でも誤った操作を行うと会社全体に被害が及ぶ」もの。アルバイト、派遣社員、業務委託を含む全従業員が対象です。
攻撃者は、セキュリティ意識が低い人を狙います。正社員だけ教育しても、パートタイムの従業員がフィッシングメールに引っかかれば、そこから社内ネットワーク全体に被害が拡大する恐れがあります。
| 対象者 | 教育が必要な理由 |
|---|---|
| 正社員 | 日常的にメール・システムを利用。攻撃の最も多い標的 |
| アルバイト・パート | 業務端末やメールを使う場面がある。教育機会が少なく狙われやすい |
| 派遣社員 | 自社のセキュリティルールを知らないまま業務を開始するケースが多い |
| 業務委託・外注先 | 社内システムへのアクセス権限を持つ場合がある |
| 経営層 | 経営判断に関わる機密情報を扱う。BEC(ビジネスメール詐欺)の標的になりやすい |
SCS評価制度でも「教育」が求められる
2026年度末に開始予定のSCS評価制度(セキュリティ対策評価制度)では、★3の要求事項に従業員教育の実施が含まれています。取引先から★3以上の取得を求められるケースが今後増えると予想される中、セキュリティ教育は「やった方がいい」ではなく「やらなければならない」ものになりつつあります。
【2026年最新】公的機関が発信する注意喚起とセキュリティ動向
セキュリティ教育の内容を検討する前に、2026年3月時点で公的機関が発信している注意喚起を確認しておきましょう。教育の根拠として、これらの情報を活用することをおすすめします。
IPA「情報セキュリティ10大脅威 2026」
2026年1月29日にIPAが発表した「情報セキュリティ10大脅威 2026」では、組織向け脅威として以下がランクインしています。
| 順位 | 脅威名 | 中小企業への影響度 |
|---|---|---|
| 1位 | ランサム攻撃による被害 | 🔴 極めて高い |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 🔴 極めて高い |
| 3位 | AIの利用をめぐるサイバーリスク(初選出) | 🟡 高い |
| 5位 | 機密情報を狙った標的型攻撃 | 🟡 高い |
| 7位 | 内部不正による情報漏えい等 | 🟡 高い |
| 10位 | ビジネスメール詐欺(BEC) | 🔴 極めて高い |
10大脅威の詳しい解説は「IPA「情報セキュリティ10大脅威」を中小企業目線で読み解く」をあわせてご覧ください。
特に注目すべきは、3位に「AIの利用をめぐるサイバーリスク」が初選出されたことです。生成AIの普及により、自然な日本語のフィッシングメールが大量に生成できるようになり、従来の「不自然な日本語で見分ける」という方法が通用しなくなっています。フィッシングメール・BECの具体的な対策は「フィッシング・BEC対策ガイド」で詳しく解説しています。
経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」では、経営者が認識すべき「3原則」の一つとして、サプライチェーン全体のセキュリティ対策が求められています。
同ガイドラインの「重要10項目」には、以下の教育関連項目が含まれています。
- 指示7: インシデント発生時の緊急対応体制の整備(→ CSIRT構築ガイドで詳しく解説)
- 指示8: インシデントによる被害に備えた事業継続・復旧体制の整備
- 指示9: ビジネスパートナーを含めたサプライチェーン全体の対策
- 指示10: 情報共有活動への参加を通じた攻撃情報の入手と有効活用および提供
IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」
IPAのガイドラインでは、「経営者編」と「実践編」の2部構成で中小企業が取り組むべき対策を整理しています。実践編では、従業員教育の実施が重要な対策項目として明記されています。
中小企業庁・支援機関の取り組み
- SECURITY ACTION: 中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度。各種補助金の申請要件にもなっている
- サイバーセキュリティお助け隊サービス: IPAが認定するパッケージ型セキュリティサービス。教育支援を含む
- デジタル化・AI導入補助金2026 セキュリティ対策推進枠: セキュリティサービス導入費用の補助(2026年3月30日申請受付開始)
【全体像】セキュリティ教育の3本柱
中小企業のセキュリティ教育は、以下の3本柱で構成するのが効果的です。
graph TB
TOP["🏢 セキュリティ教育<br>年間計画"]
P1["📚 第1の柱<br>全社員向け教育<br>年1〜2回"]
P2["🎯 第2の柱<br>階層別教育<br>経営層・管理職・一般"]
P3["📧 第3の柱<br>標的型メール訓練<br>半期1回"]
TOP --> P1
TOP --> P2
TOP --> P3
style TOP fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style P1 fill:#1e8449,stroke:#58d68d,color:#ecf0f1
style P2 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style P3 fill:#922b21,stroke:#f1948a,color:#ecf0f1| 柱 | 内容 | 実施頻度 | 対象 |
|---|---|---|---|
| 第1の柱:全社員向け教育 | セキュリティの基礎知識、最新脅威、社内ルールの周知 | 年1〜2回(半期に1回が理想) | アルバイト・派遣含む全従業員 |
| 第2の柱:階層別教育 | 役割に応じた専門教育(経営層・管理職・一般社員) | 年1回 | 各階層の該当者 |
| 第3の柱:標的型メール訓練 | 疑似的なフィッシングメールを送信し、実践力を鍛える | 半期に1回 | 全従業員 |
この3本柱に加えて、セキュリティ事故が発生した際の臨時教育と新入社員・中途入社・異動時の個別教育を組み合わせることで、教育体制が完成します。
【テンプレート】セキュリティ教育 年間計画表
以下は、中小企業向けのセキュリティ教育年間計画テンプレートです。自社の状況に合わせてカスタマイズしてご活用ください。
年間スケジュール
| 月 | 実施内容 | 対象 | 教育方法 | 備考 |
|---|---|---|---|---|
| 4月 | 新入社員セキュリティ研修 | 新入社員・中途入社者 | 座学+eラーニング | 入社時オリエンテーションに組み込む |
| 5月 | 第1回 全社セキュリティ教育 | 全従業員 | eラーニング+動画研修 | 習熟度テスト実施 |
| 6月 | 第1回 標的型メール訓練 | 全従業員 | 訓練メール送信 | 結果分析+開封者への追加教育 |
| 7月 | 管理職向けセキュリティ教育 | 管理職・役職者 | 外部講師研修 or 動画研修 | 情報管理責任者としての役割を理解 |
| 8月 | グループ討議(第1回教育の振り返り) | チーム・班単位 | ディスカッション | 事例共有・意見交換 |
| 9月 | 経営層向けセキュリティ教育 | 経営者・役員 | 外部専門家による講習 | セキュリティ動向と経営判断 |
| 10月 | セキュリティインシデント事例共有 | 全従業員 | 資料配布+朝礼等で共有 | 社内外で発生した事例を教訓化 |
| 11月 | 第2回 全社セキュリティ教育 | 全従業員 | eラーニング+動画研修 | 習熟度テスト実施 |
| 12月 | 第2回 標的型メール訓練 | 全従業員 | 訓練メール送信 | 第1回との比較分析 |
| 1月 | 年間教育結果の分析・報告 | 経営層向け報告 | 報告書 | 次年度計画への反映 |
| 2月 | IPA「10大脅威」最新情報の共有 | 全従業員 | 資料配布 | 毎年1月末にIPAが公表 |
| 3月 | 次年度セキュリティ教育計画の策定 | 教育担当者 | 計画策定 | PDCAサイクルの「Plan」 |
年間計画の全体フロー
graph TB
A["4月 新入社員研修"]
B["5月 全社教育①"]
C["6月 メール訓練①"]
D["7-9月 階層別教育"]
E["10月 事例共有"]
F["11月 全社教育②"]
G["12月 メール訓練②"]
H["1-3月 効果測定・次年度計画"]
A --> B --> C --> D --> E --> F --> G --> H --> A
style A fill:#1e8449,stroke:#58d68d,color:#ecf0f1
style B fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style C fill:#922b21,stroke:#f1948a,color:#ecf0f1
style D fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style E fill:#6c3483,stroke:#bb8fce,color:#ecf0f1
style F fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style G fill:#922b21,stroke:#f1948a,color:#ecf0f1
style H fill:#1a5276,stroke:#5dade2,color:#ecf0f1ポイント: まずは「年1回の全社教育+年1回の標的型メール訓練」から始めてください。いきなり上記の全スケジュールを実施しようとすると負担が大きくなります。慣れてきたら半期ごとの実施に拡大していきましょう。
【第1の柱】全社員向けセキュリティ教育の進め方
Step 1:教育方法を選ぶ
中小企業で実施しやすい教育方法は、主に3つあります。
| 教育方法 | メリット | デメリット | 適したケース |
|---|---|---|---|
| eラーニング | 各自のペースで学習可能。受講履歴を管理しやすい | 受講者の集中力が続きにくい | 拠点が複数ある、シフト勤務がある |
| 動画研修 | 視覚的に理解しやすい。繰り返し視聴可能 | 一方通行になりがち | 全社に統一した内容を届けたい |
| 資料提供(PDF・スライド) | 最も手軽に始められる。コストゼロ | 読まれない可能性がある | まずは最低限の教育を始めたい |
おすすめは、eラーニングまたは動画研修をメインにしつつ、補足資料としてPDFを配布する方法です。IPA提供の無料コンテンツを活用すれば、コストをかけずに質の高い教育が実施できます。
動画研修には、**Udemy Business**などの外部講座を活用して、従業員のセキュリティ知識向上を図るのも効果的です。実務家講師による実践的な内容が豊富に揃っています。
Step 2:教育コンテンツの内容を決める
全社員向けセキュリティ教育で必ずカバーすべき項目を以下に整理しました。
graph TB
TITLE["📚 全社員向け教育"]
M["📧 メール"]
W["🌐 Web"]
D["💾 データ管理"]
S["🛡️ SaaS"]
I["🚨 事故対応"]
TITLE --> M
TITLE --> W
TITLE --> D
TITLE --> S
TITLE --> I
style TITLE fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style M fill:#1e8449,stroke:#58d68d,color:#ecf0f1
style W fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style D fill:#6c3483,stroke:#bb8fce,color:#ecf0f1
style S fill:#922b21,stroke:#f1948a,color:#ecf0f1
style I fill:#dc2626,stroke:#b91c1c,color:#ecf0f1📧 メールの安全な使い方
| 学習項目 | 具体的な内容 |
|---|---|
| To・CC・BCCの違い | Toは直接の宛先、CCは参考共有、BCCは他の受信者に見えない。社外への一斉送信は必ずBCCを使う(情報漏洩対策) |
| ファイル添付時の留意点 | パスワード付きZIPの是非、クラウドストレージ共有リンクの活用、送信前の添付ファイル確認 |
| 不審メールへの対応 | 安易にファイルを開かない、リンクをクリックしない。少しでも違和感があれば送信元に電話で確認 |
| 社外メールの仕分け | 社外からのメールを自動仕分けで別フォルダに保管すると、不審メールに気づきやすくなる |
🌐 Web・インターネット利用
| 学習項目 | 具体的な内容 |
|---|---|
| 業務外サイトの閲覧禁止 | 業務に関係のないWebサイトの閲覧はマルウェア感染リスクを高める |
| フィッシングサイトの見分け方 | URLの確認方法、SSL証明書の確認、ブックマークからのアクセスを習慣化 |
💾 データ・機器の管理
| 学習項目 | 具体的な内容 |
|---|---|
| USB利用の制限 | USBメモリは基本的に使わない。やむを得ず使う場合は暗号化機能付きのもののみ許可 |
| アクセス権の適切な設定 | ファイルサーバ・HDDは、必要最小限のアクセス権を付与する(「全員がアクセス可能」はNG) |
| パスワード管理 | 使い回しの禁止、推測されにくいパスワードの設定、可能な場合は多要素認証(MFA)の導入 |
MFA(多要素認証)の導入方法は「最低限やるべきセキュリティ対策15選」で詳しく解説しています。
🛡️ SaaS・クラウドの利用
| 学習項目 | 具体的な内容 |
|---|---|
| シャドーIT(無断利用)の禁止 | SaaSを利用する際は、必ず会社の承認を得る。無断で利用したSaaSから情報漏洩するリスクがある |
| アカウント管理 | 退職者アカウントの速やかな無効化、共有アカウントの禁止 |
🚨 セキュリティ事故発生時の対応
| 学習項目 | 具体的な内容 |
|---|---|
| 連絡先の明確化 | 「誰に連絡するか」を全従業員が即答できる状態にする |
| 初動対応 | まずネットワーク(LANケーブル・Wi-Fi)を遮断する。判断に迷ったら遮断を優先 |
| やってはいけないこと | 自己判断で復旧を試みない、身代金を支払わない、証拠を消さない |
インシデント発生時の詳しい対応フローは「インシデント対応マニュアルの作り方」、対応体制の構築は「中小企業のCSIRT構築ガイド」をご覧ください。
Step 3:社内外の事例を共有する
教育コンテンツに加えて、社内および社外で実際に発生したセキュリティ事象の事例紹介を行うことが非常に効果的です。抽象的なルールの説明だけでなく、「実際にこういう被害が起きた」という具体例は従業員の記憶に残りやすく、セキュリティ意識の向上に直結します。
事例共有のポイント:
- 社外事例:IPA「情報セキュリティ10大脅威」の解説資料やニュース報道を活用
- 社内事例:自社で発生したヒヤリハット事例を匿名化して共有(「こんなメールが来て、危うくクリックしそうになった」等)
- 必ず教訓をセットにして、再発防止策を明示する
Step 4:教育を実施する
graph TB
S1["Step 1<br>教育資料の準備"]
S2["Step 2<br>受講案内の配信"]
S3["Step 3<br>受講"]
S4["Step 4<br>習熟度テスト"]
S5["Step 5<br>グループ討議"]
S6["Step 6<br>受講記録の管理"]
S1 --> S2 --> S3 --> S4 --> S5 --> S6
style S1 fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style S2 fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style S3 fill:#1e8449,stroke:#58d68d,color:#ecf0f1
style S4 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style S5 fill:#6c3483,stroke:#bb8fce,color:#ecf0f1
style S6 fill:#1a5276,stroke:#5dade2,color:#ecf0f1【第2の柱】階層別セキュリティ教育の設計
全社員向け教育だけでは、役割ごとに必要な知識・意識をカバーしきれません。階層別教育を組み合わせることで、教育の効果を大幅に高められます。
階層別教育の内容一覧
graph TB
subgraph exec["経営層向け"]
E1["国・世の中の<br>セキュリティ動向"]
E2["セキュリティの<br>経営判断の重要性"]
E3["サイバー保険・<br>投資の意思決定"]
end
subgraph manager["管理職・役職者向け"]
M1["情報持ち出し時の<br>適切な承認"]
M2["SaaS・システムの<br>情報管理者としての意識"]
M3["個人情報管理の<br>管理責任"]
end
subgraph general["一般社員向け"]
G1["日常業務の<br>セキュリティルール"]
G2["最新脅威の<br>理解と対策"]
end
style E1 fill:#922b21,stroke:#f1948a,color:#ecf0f1
style E2 fill:#922b21,stroke:#f1948a,color:#ecf0f1
style E3 fill:#922b21,stroke:#f1948a,color:#ecf0f1
style M1 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style M2 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style M3 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style G1 fill:#1e8449,stroke:#58d68d,color:#ecf0f1
style G2 fill:#1e8449,stroke:#58d68d,color:#ecf0f1経営層向けセキュリティ教育
目的: セキュリティを「コスト」ではなく「経営課題」として認識してもらう
| 教育項目 | 具体的な内容 |
|---|---|
| 国・世の中のセキュリティ動向 | IPA「10大脅威」、SCS評価制度、サイバーセキュリティ経営ガイドラインの最新動向 |
| セキュリティの経営判断の重要性 | セキュリティ投資の意思決定、インシデント発生時の経営判断(公表・報告のタイミング等) |
| サプライチェーンリスク | 取引先からのセキュリティ要求への対応、サプライチェーン攻撃の事例 |
おすすめの実施方法: 中小企業支援機関、中小企業診断士、セキュリティ専門家等による外部講習の活用。経営者同士の意見交換の場を設けると、危機感の共有がより効果的に行えます。
経営層へのIT投資の説明方法は「IT投資の説得術」もご参照ください。
管理職・役職者向けセキュリティ教育
目的: 自部門のセキュリティ管理責任者としての意識を醸成する
| 教育項目 | 具体的な内容 |
|---|---|
| 情報持ち出し管理 | 業務上社外に情報を持ち出す際は、適切に承認を行うフローを理解・実行する |
| システム・SaaSの管理 | 導入しているシステム、SaaSの情報管理者となる意識を持つ。アカウント棚卸しの実施 |
| 個人情報管理の責任 | 個人情報管理の責任者として管理責任を果たす。漏洩時の報告義務の理解 |
| 部下への指導 | セキュリティルール違反を発見した際の指導方法、インシデント報告を受けた際の対応 |
一般社員向けセキュリティ教育
全社員向け教育の内容に加えて、自部門特有のリスクに焦点を当てた教育を実施します。
| 部門 | 重点教育テーマ |
|---|---|
| 営業部門 | 顧客情報の管理、外出先でのPC・スマホの取り扱い |
| 人事・総務部門 | 個人情報保護、マイナンバー管理 |
| 経理・財務部門 | BEC(振込詐欺)への警戒、金融情報の管理 |
| 製造・現場部門 | 制御システムのセキュリティ、USB利用の制限 |
【第3の柱】標的型メール訓練の実施手順
標的型メール訓練は、座学では得られない実践的な気づきを従業員に与える最も効果的な教育手法です。半期に1回は実施することをおすすめします。
訓練の全体フロー
graph TB
P1["Step 1<br>計画策定"]
P2["Step 2<br>訓練メール作成"]
P3["Step 3<br>テスト送信"]
P4["Step 4<br>訓練実施"]
P5["Step 5<br>種明かし"]
P6["Step 6<br>結果分析"]
P7["Step 7<br>追加教育"]
P1 --> P2 --> P3 --> P4 --> P5 --> P6 --> P7
style P1 fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style P2 fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style P3 fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style P4 fill:#922b21,stroke:#f1948a,color:#ecf0f1
style P5 fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style P6 fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style P7 fill:#1e8449,stroke:#58d68d,color:#ecf0f1Step 1:計画を策定する
| 決定事項 | 内容 |
|---|---|
| 目的 | 開封率の低減 or 報告率の向上(後述) |
| 対象者 | 全従業員(アルバイト・派遣含む) |
| 実施日時 | 業務への影響を考慮し、通常業務日の午前中が効果的 |
| 訓練方式 | 添付ファイル型 or URLクリック型 |
| 難易度 | 初回は見分けやすいもの → 回を重ねるごとに巧妙に |
Step 2:訓練メールを作成する
訓練メールは、実際の攻撃メールに近い内容で作成します。主なパターンは以下の3つです。
| パターン | メール件名の例 | 難易度 |
|---|---|---|
| 業務連絡偽装型 | 「【人事部】人事異動のお知らせ(4月1日付)」 | ★☆☆ |
| 取引先偽装型 | 「【〇〇株式会社】請求書送付のご連絡」 | ★★☆ |
| 時事ネタ活用型 | 「【重要】マイナンバーカードの更新手続きについて」 | ★★★ |
作成のポイント:
- 差出人を社長、上司、取引先など受信者が信頼しやすい人物に設定する
- メール本文は、受信者が思わず開いてしまう内容にする(給与明細、会議資料、人事異動など)
- 訓練メールの添付ファイルやリンク先には、訓練であることを通知する教育ページを用意する
Step 3~4:テスト送信と訓練実施
- テスト送信で迷惑メールフォルダへの振り分けがないか確認
- 訓練実施は事前に経営層の承認を得る(従業員への不信感を防ぐため)
- セキュリティ担当者には訓練の実施を事前に周知しておく
Step 5:種明かしと結果分析
訓練実施後、速やかに全従業員に訓練であったことを通知します。この際、正しい対応方法(報告の仕方、開いてしまった場合の対処法)をあわせて教育します。
分析すべき指標:
| 指標 | 計算方法 | 目安 |
|---|---|---|
| 開封率 | 開封者数 ÷ 訓練メール送信数 | 初回20〜30%、継続後5%前後が目標 |
| クリック率 | URL/添付ファイルを開いた人数 ÷ 送信数 | 開封率より低くなるのが通常 |
| 報告率 | セキュリティ担当に報告した人数 ÷ 送信数 | 最も重要な指標。100%を目指す |
開封率よりも「報告率」を重視しましょう。 攻撃メールの巧妙化により、誰かが開封してしまうことは完全には防げません。重要なのは、開封してしまった後に速やかに報告し、初動対応につなげられるかどうかです。NRIセキュアも、訓練の指標を「開封率から報告率へシフト」すべきと提言しています。
Step 7:開封者への追加教育
標的型メール訓練で誤ってファイルを開いた従業員には、追加教育を実施します。 これは罰則ではなく、スキル向上のためのフォローアップです。
追加教育の内容:
- なぜそのメールを開いてしまったかの振り返り
- 不審メールの見分け方のポイント(差出人アドレス、URL、日本語の不自然さ等)
- 開いてしまった場合の正しい対応手順の再確認
- 次回訓練に向けた意識づけ
標的型メール訓練サービスの選択肢
自社で訓練メールを作成・送信するのが難しい場合は、外部サービスの活用がおすすめです。
| サービス | 特徴 | 費用感 |
|---|---|---|
| TrapFeel | 500名まで無料で利用可能 | 無料〜 |
| 大塚商会 標的型メール訓練 | 1社1回100名まで無料お試しあり | 無料お試し〜 |
| NTT東日本 標的型攻撃メール訓練 | 1ID 550円から | 低コスト |
| セキュリオ | 訓練+教育+報告を一体化 | 月額制 |
東京商工会議所が中小企業会員向けに実施した標的型攻撃メール訓練では、**全体開封率7.8%**という結果が報告されています(東京商工会議所)。
【効果を高める】習熟度テストとグループ討議の設計
eラーニングや動画研修を「見て終わり」にしてしまうと、教育効果は限定的です。習熟度テストとグループ討議を組み合わせることで、学習の定着率を大幅に向上させることができます。
習熟度テストの設計
合格基準を設けることが重要です。合格基準がないと「なんとなく受講した」で終わってしまいます。
| 項目 | 推奨設定 |
|---|---|
| 出題数 | 10〜15問(所要時間10〜15分) |
| 出題形式 | 4択問題(正しいものを選ぶ / 誤っているものを選ぶ) |
| 合格基準 | 80%以上正解(10問中8問以上) |
| 不合格時の対応 | 再学習 → 再テスト(合格するまで繰り返し) |
| テスト期限 | 教育実施後2週間以内 |
テスト問題の例:
| No. | 問題 | 正解 |
|---|---|---|
| 1 | 社外への一斉メール送信時、他の受信者にメールアドレスを見せないためには、どの欄に宛先を入れるべきか? | BCC |
| 2 | 不審なメールを受信した場合、最初にすべき行動は何か? | セキュリティ担当者に報告する |
| 3 | USBメモリでデータを社外に持ち出す場合、正しい手順は? | 上長の承認を得て、暗号化機能付きUSBを使用する |
| 4 | パスワードの管理方法として最も不適切なものは? | 複数のサービスで同じパスワードを使い回す |
| 5 | ランサムウェアに感染した可能性がある場合、最初にすべきことは? | ネットワーク(LANケーブル・Wi-Fi)を遮断する |
グループ討議の進め方
セキュリティ教育の後にチーム・班でグループ討議の場を設けると、理解度とセキュリティ意識の啓蒙が格段に高まります。
グループ討議の進め方:
| 項目 | 内容 |
|---|---|
| 参加人数 | 4〜6名(多すぎると発言機会が減る) |
| 所要時間 | 30〜45分 |
| テーマ例 | 「最近の業務で、セキュリティ面で気になったこと」「もし自分のPCがランサムウェアに感染したら、何をすべきか」 |
| 進行役 | 各チームのリーダー or 教育担当者 |
| アウトプット | チームごとに気づき・改善提案を1枚にまとめて共有 |
討議テーマの例:
- 「自分の部署で情報漏洩が起きるとしたら、どんなシナリオが考えられるか?」
- 「取引先を装った不審メールを受信したら、どう対応するか?」
- 「社内で見つけた”セキュリティの穴”を共有しよう」(ヒヤリハット事例の共有)
討議で出た気づきや改善提案は、次回の教育コンテンツやセキュリティポリシーの見直しにフィードバックしましょう。
【教材ガイド】無料・低コストで使えるセキュリティ教材一覧
無料教材(公的機関提供)
| 提供元 | 教材名 | 概要 | URL |
|---|---|---|---|
| IPA | 映像で知る情報セキュリティ | ドラマ仕立ての映像教材。YouTube無料視聴。スライド教材付き | IPA映像コンテンツ |
| IPA | 5分でできる!情報セキュリティポイント学習 | 1テーマ5分のeラーニング。確認テスト付き | IPAポイント学習 |
| IPA | 5分でできる!情報セキュリティ自社診断 | 25項目で自社の対策状況を数値化 | IPA自社診断 |
| IPA | ここからセキュリティ! | 研修に役立つ教材をまとめたポータル | IPAポータル |
| 総務省 | 国民のためのサイバーセキュリティサイト | 利用者向け・管理者向け・経営層向けの3層構成 | 総務省サイト |
| NISC | インターネットの安全・安心ハンドブック | 全208ページ超のPDF/EPUB。研修に自由利用可 | NISCハンドブック |
有料サービス(法人向け)
| サービス | 特徴 | 費用感 |
|---|---|---|
| Udemy Business | 実務家講師による実践型動画。セキュリティ講座が豊富 | 月額制 |
| Schoo for Business | 7,800本超の授業。ライブ配信+アーカイブ形式 | 月額制 |
| セキュリオ | セキュリティ教育+標的型メール訓練+管理を一体化 | 月額制 |
| learningBOX ON | 10名まで無料。セキュリティ研修コンテンツ含む | 無料〜月額制 |
おすすめの組み合わせ: IPA無料教材(基礎教育)+ Udemy Business(応用・専門教育)+ 外部サービス(標的型メール訓練)。この3つを組み合わせれば、低コストで質の高いセキュリティ教育が実現できます。
【事例紹介】中小企業のセキュリティ教育 成功パターン
事例1:商工会議所の講習会を活用(製造業・従業員50名)
IPAの「業種ごとの効果的な取組事例集」に掲載されている事例です。地元の商工会議所が開催するセキュリティ講習会に継続的に参加し、得た情報を社内に展開。結果として、25年近くウイルス感染が発生していないという実績を達成しています。
成功のポイント:
- 外部の講習会に継続的に参加し、最新情報をキャッチアップ
- 得た知識を社内に還元する仕組みを作った
- 経営者自身がセキュリティに関心を持っている
事例2:標的型メール訓練+再教育プログラム(サービス業・従業員200名)
半期に1回の標的型メール訓練を実施し、開封してしまった従業員に対して追加の再教育プログラムを提供。初回訓練時の開封率は25%でしたが、3回目の訓練で5%まで低減しました。
成功のポイント:
- 開封者を「罰する」のではなく「追加教育の対象」として扱った
- 訓練の難易度を段階的に上げた
- 報告率の向上も評価指標に加えた
事例3:東京商工会議所の訓練(会員中小企業300名以下)
東京商工会議所が実施した標的型攻撃メール訓練では、従業員300名以下の中小企業を対象に訓練を実施。全体開封率は7.8%でした。企業規模別では、従業員「6〜20名」の企業が11.9%で最も高く、小規模企業ほど教育の必要性が高いことが示されました。
事例4:東京都 中小企業サイバーセキュリティ啓発事業
東京都が実施する啓発事業では、経営層・従業員・IT担当者それぞれに異なるアプローチでセキュリティ教育を支援しています。参加企業からは「座学だけでは得られない実践的な気づきが得られた」との声が報告されています。
事例5:自社事案の匿名共有と、対象を絞ったeラーニング督促(大規模組織での実践例)
中小企業向けというより大規模組織での経験ですが、応用可能な学びとして紹介します。所属企業(社会インフラ系・従業員約5,000人)でも半期に1回の標的型メール訓練を継続実施しており、直近の請求書テーマでの訓練では クリック率1回目で約3% という実績でした。
数字以上に効いたのは、結果を年代別に集計 してから次の打ち手を決めたことです。クリック率は世代別でばらつきが大きく、特に 20代と50〜60代でクリック率が高い という傾向が見えました。20代は「業務メールに不慣れで反射的に開く」、50〜60代は「メール量が多く一件あたりの判断時間が短い」という別々の理由が背景にあります。同じ教育を全員に展開しても効果が薄いので、該当層に絞ったeラーニングを別建てで配信 し、受講後に感想を必ず提出してもらう運用にしました。
もう一点ポイントがあって、eラーニングの受講督促を本人ではなく上長経由で送る ことです。本人宛の督促だけでは未受講のまま流れがちですが、上長から「受講してね」と一言添えてもらうと受講率が一気に跳ね上がります。組織が大きくても小さくても、「人は本人宛のリマインドより、上長からの一言で動く」 という現象は同じだと感じます。
この対応の結果、業務情報の社外持ち出し件数(メール誤送信・USBの不適切な利用など)が明らかに減少 しました。訓練のクリック率は派手な数字ですが、最終的に経営層に報告すべき指標は「実害の発生件数」だと考えています。
「効く啓蒙資料」と「効かない啓蒙資料」の差──自社事案の教材化
教育コンテンツを作るときに同じく学んだのが、「効く資料」と「効かない資料」の差 です。
- 効かなかった資料:社内規則の条文をそのまま羅列しただけのもの。読んでも頭に入らず、行動が変わらない
- 効いた資料:自社で実際に発生したセキュリティ事案 を匿名化して紹介したもの。具体的には次のようなインシデントを教材化しました
- CCとBCCを誤って、お客様のメールアドレスを別の取引先に流出 させた事例
- 業務システムの ユーザーIDを複数人で使い回し、誰の操作か特定できなくなった事例
- 人事異動後に旧部署のアクセス権が設定されたまま で、機微情報にアクセスできる状態が残っていた事例
- 社内パソコン・スマートフォン・通信カードの 紛失 事例
「他人事ではない、隣の部署で起きた」という距離感が、セキュリティ教育のもっとも強い訴求力です。社内事案を匿名化して教材化する取り組みは、中小企業でも今日から始められる施策だと感じています。
【効果測定】教育の成果を「見える化」する方法
セキュリティ教育を「やりっぱなし」にせず、PDCAサイクルで改善し続けることが重要です。
測定すべきKPI
| KPI | 計算方法 | 目標値 |
|---|---|---|
| 教育受講率 | 受講完了者数 ÷ 対象者数 | 100% |
| 習熟度テスト合格率 | 合格者数 ÷ 受験者数 | 90%以上 |
| 標的型メール訓練 開封率 | 開封者数 ÷ 送信数 | 5%以下(継続実施後) |
| 標的型メール訓練 報告率 | 報告者数 ÷ 送信数 | 80%以上(最終目標100%) |
| セキュリティインシデント報告件数 | 月次で集計 | 報告しやすい文化の醸成(件数増加は肯定的に評価) |
| ポリシー違反件数 | 四半期で集計 | 減少傾向 |
セキュリティ関連のKPI設計について、JCIC(日本サイバーセキュリティ・イノベーション委員会)の「サイバーセキュリティ経営KPIモデル」が参考になります。
PDCAサイクルの回し方
graph TB
P["Plan<br>年間計画の策定<br>教育内容の決定"]
D["Do<br>教育の実施<br>訓練の実施"]
C["Check<br>KPIの測定<br>アンケート分析"]
A["Act<br>改善策の反映<br>次年度計画に反映"]
P --> D --> C --> A --> P
style P fill:#1a5276,stroke:#5dade2,color:#ecf0f1
style D fill:#1e8449,stroke:#58d68d,color:#ecf0f1
style C fill:#b9770e,stroke:#f4d03f,color:#ecf0f1
style A fill:#922b21,stroke:#f1948a,color:#ecf0f1Check(評価)のタイミング:
- 各教育実施後:受講率・合格率の集計
- 標的型メール訓練後:開封率・報告率の分析
- 年度末:年間KPIの総合評価+次年度計画への反映
よくある質問(FAQ)
Q1. セキュリティ教育に使える予算がありません
A. IPAが提供する無料教材だけでも、十分に質の高い教育が実施できます。「映像で知る情報セキュリティ」(YouTube無料)と「5分でできる!情報セキュリティポイント学習」を組み合わせれば、コストゼロで開始できます。まずは無料教材で始めて、必要に応じて有料サービスを追加していく段階的なアプローチがおすすめです。セキュリティ対策に使える補助金については「サイバーセキュリティ対策の補助金ガイド」もあわせてご覧ください。
Q2. 従業員が教育を面倒くさがります
A. 「なぜ教育が必要なのか」の動機づけが不足していることが多いです。実際のセキュリティ被害事例(金額・業務停止日数など)を共有し、「自分ごと」として捉えてもらうことが重要です。また、1回あたりの学習時間を30分以内に抑え、業務時間内に実施することで、受講のハードルを下げられます。
Q3. 標的型メール訓練で従業員のモチベーションが下がらないか心配です
A. 訓練の目的は「従業員を試す」ことではなく「セキュリティ意識を高める」ことです。事前に経営層から「スキル向上のための訓練であり、罰則はない」というメッセージを発信しておくことが重要です。開封者への追加教育も、罰則ではなくスキルアップの機会として位置づけてください。
Q4. アルバイトや派遣社員にも教育が必要ですか?
A. はい、必要です。 セキュリティは1人でも誤った操作を行うと会社全体に被害が及びます。雇用形態に関係なく、業務で会社のシステムやメールを使用するすべての人が教育対象です。入社・着任時のオリエンテーションに組み込むのが効果的です。
Q5. 教育の効果をどうやって経営層に報告すればいいですか?
A. KPI(受講率、テスト合格率、メール訓練の開封率・報告率)を数値で報告するのが最も説得力があります。加えて、SCS評価制度の★3取得に向けた対応状況として報告することで、経営層の関心を引きやすくなります。
Q6. 外部の専門家に講習を依頼したい場合、どこに相談すればいいですか?
A. 以下の選択肢があります。
- 中小企業支援機関(商工会議所、商工会、中小企業団体中央会)
- 中小企業診断士(ITやセキュリティに強い診断士を選ぶ)
- IPA登録のセキュリティプレゼンター
- 東京都 中小企業サイバーセキュリティ啓発事業(東京都内の企業向け)
まとめ:セキュリティ教育は「仕組み」で回す
本記事のポイントを整理します。
明日から始めるアクションリスト
| 優先度 | アクション | 所要時間 |
|---|---|---|
| 🔴 | IPA「5分でできる!情報セキュリティ自社診断」で現状把握 | 15分 |
| 🔴 | セキュリティ事故発生時の連絡先を全従業員に周知 | 30分 |
| 🟡 | IPA無料教材を使って全社セキュリティ教育を計画 | 2時間 |
| 🟡 | 年間教育スケジュール(本記事のテンプレート)を策定 | 2時間 |
| 🟢 | 標的型メール訓練サービスの比較・選定 | 3時間 |
| 🟢 | 階層別教育プログラムの設計 | 半日 |
3つのポイント
- 対象は全従業員: アルバイト・派遣社員を含む全員がセキュリティ教育の対象。1人の油断が会社全体を危険にさらす
- 「仕組み」で続ける: 年間計画を策定し、PDCAサイクルで改善し続ける。属人化させず、仕組みとして定着させることが大切
- コストゼロでも始められる: IPA・総務省・NISCの無料教材を活用すれば、今日から始められる
セキュリティ教育は、一度やれば終わりではありません。脅威は日々進化しています。年間計画を軸に、継続的に教育を実施し、従業員一人ひとりのセキュリティ意識を高めていく——それが、中小企業を守る最も確実な方法だと思います。
セキュリティ対策の全体像を把握したい方は「IT担当者が最低限やるべきセキュリティ対策15選」、セキュリティポリシーの策定は「情報セキュリティポリシーの作り方」もあわせてご覧ください。