AIの悪用やリモートワークの普及により企業のセキュリティー環境は年々深刻化しており、現在において多くの企業・組織が脅威にさらされています。

IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025」では、組織向けの脅威としてランサムウェア攻撃が5年連続して第1位にランクインしました。ランサムウェア攻撃は同調査が始まった2016年以降10年連続で取り扱われ、最も被害に遭いやすい攻撃の一つです。

注目すべきはサプライチェーンを狙った攻撃が第2位に位置していることです。サプライチェーン攻撃は、単一の組織だけでなく、取引先や関連企業にまで被害が波及するおそれがあります。また、第5位には機密情報等を狙った標的型攻撃が挙げられました。

このように巧妙な手口によって企業の重要データが狙われている実情が明らかとなっています。

出典： IPA（独立行政法人情報処理推進機構）「情報セキュリティ10大脅威 2025」

標的型攻撃とは、攻撃者が狙いを定めた組織に対して行われるサイバー攻撃です。例えば、メールに添付したファイルや悪意のあるWebサイトを使って、組織のシステムにマルウェアやウイルスを送り込みます。

不特定多数を狙う攻撃とは異なり、標的型攻撃は攻撃する対象がはっきりと決まっており、どのような会社なのか、事業内容、企業規模などを綿密に調査した上で計画を立て有効な攻撃を実施するため、一般的なセキュリティー対策では検知や防御が極めて困難となっています。2025年に入ってからも国内でも被害が相次いで報告されており、攻撃による情報漏えいが発生すれば、ステークホルダーの信用を失うことになります。

ここでは、最新の被害事例をいくつか紹介します。

１）クリニックに対するランサムウェア攻撃（2025年２月発生）

栃木県のクリニックで2025年2月10日にシステム障害が発生し、調査の結果、ランサムウェア攻撃を受けていたことが判明しました。
電子カルテや予約システムが使用不能となり、診察や健診業務を制限されました。流出の可能性がある機密データは、最大30万人分の患者およびクリニック関係者の個人情報（氏名、生年月日、住所、電話番号、診療情報等の重要な個人データ）です。医療機関という性質上、患者の健康情報が含まれており、被害の深刻さは計り知れません。

２）インターネットカフェへの不正アクセス（2025年1月発生）

あるインターネットカフェでは、2025年1月18日に外部からの不正アクセスを検知しました。会員アカウントを管理するシステムへの侵入により、約729万件の会員情報が漏えいした可能性があることが判明。漏えいした情報には姓名、住所、電話番号、生年月日、会員番号、ポイントなどが含まれており、2015年以降の期間で同社を利用したことのある一部の人も被害に遭ったおそれがありました。

３）自治体へのサプライチェーン攻撃（2024年6月発生）

ある地方自治体から納税通知書等作成業務を受託していた印刷業者がランサムウェア攻撃を受け、約14万4千名分の自動車税関連個人情報が漏えいする事案が発生しました。
被害を拡大させた要因は、委託先における不適切な事務処理です。本来、個人情報を取り扱ってはならないネットワークで県のデータが保存され、さらに契約上削除されるべき情報が実際には削除されていませんでした。取引先や委託先のずさんな管理からセキュリティー事故に巻き込まれるおそれもあります。

これらの事例からわかるように、あらゆる業界・規模の組織が標的型攻撃の対象となっており、数万件から数百万件規模の個人情報漏えい被害に遭う可能性があります。

標的型攻撃の多くは、従業員が受信したメールの添付ファイルを開いたり、悪意のあるWebサイトにアクセスしたりすることで発生します。そのため、従業員一人ひとりがこうした攻撃を見抜き、適切に対処できるかどうかが組織のセキュリティーを左右します。

しかし、セキュリティー教育環境の構築には様々な課題が存在し、セキュリティーリテラシーの向上を妨げているのが現状です。

＜課題＞

一般的なセキュリティー教育は年1回の集合研修やeラーニングが主流となっています。ですが単発で行う教育では、日々進化するサイバー攻撃に対応できません。さらに古い知識だけでは最新の脅威を見抜くことは困難です。教育内容を忘れ、油断したタイミングで被害に遭うかもしれません。

また、業務の忙しさゆえにセキュリティー教育は後回しにされがちです。重要性を理解していても、実際の受講やトレーニングの優先度が低く、時間を割けない状況が多くあります。

教育内容と実務の乖離も挙げられます。一般的なセキュリティー教育は理論的な説明が中心となることが多く、実際に遭遇する脅威への対応力が身につきません。従業員が怪しいメールを受信した際に適切な判断を下せるかどうかは、座学だけでは測ることができません。

＜解決策＞

こうした課題を解決するために、続けやすく実践しやすいセキュリティー教育の導入が求められます。

定期的に訓練を実施すれば、従業員のセキュリティー意識を常に高い状態で維持できます。さらに業種や部署、役職に応じてカスタマイズされた教育コンテンツを提供することで、実務に即した学習が可能です。

訓練結果の分析とフィードバックを活用して教育カリキュラムを最適化することで、組織全体のセキュリティーレベルの向上が期待できます。

上述した課題を克服するソリューションが、AIを活用した「標的型攻撃対策訓練・教育サービス」です。画一化された従来の教育方法ではなく、会社や部署、役職に応じてそれぞれに最適な訓練を実施できます。

サービスの特長は、次の3つです。

① マルチベクトル対応

標的型攻撃は多様な手法で仕掛けられます。「標的型攻撃対策訓練・教育サービス」では、メール、SMS、SNSなどの形式で訓練を行います。実務で起こる可能性のある様々な攻撃（マルチベクトル）に対応可能です。業務で使用するツールから攻撃を受けるおそれがあることを体験的に学習し、どのような状況でも適切な判断ができるスキルを身につけられます。

② AIにより最適化されたコンテンツ

AIが最新の標的型攻撃情報を収集・分析し、お客様の業界、部署、役職などの特性を踏まえた最適な訓練コンテンツを提供します。これはまさに、実際の攻撃者の最先端の手法を再現した高度な訓練となります。さらに、訓練結果に基づいてAIが習熟度を分析し、習熟度に応じて最適化された教育プログラムを調整します。

③ 習熟度を把握し、次の訓練へ活用

専門アナリストによる従業員の習熟度を評価・分析しています。年間を通じて「企画→訓練→教育→評価分析」のサイクルを継続することで、セキュリティーリテラシーを向上させます。レポートにより、どの部署や従業員がどのような脅威に対して脆弱性を持っているかを可視化し、次回訓練へのフィードバックを行います。限られた時間の中でも、セキュリティー強化に取り組むことが可能です。

サービスを導入するメリットは、次の3つです。

① 巧妙化する脅威リスクの軽減

最新のセキュリティー情報と会社の特徴を活かしたリアリティのある訓練により、従業員は実際の攻撃に近いシーンで経験を積むことができます。どのような場面でも正しく判断し対応する力が身につきます。

② 訓練・教育にかかる労力を軽減

これまでの社内教育では、訓練・教育コンテンツの作成や配信、結果の集計やレポート化といった作業が必要でした。本サービスではこうした作業をすべて代わりに行うため、社内の担当者は他の業務に集中できます。

③ セキュリティーリテラシーを段階的に向上

一度きりの研修や教育では、時間が経つと学んだ内容を忘れてしまい、攻撃に遭遇した時に正しく対処できません。定期的な訓練と習熟度に合わせた教育により、組織全体のセキュリティー意識を高いレベルで保ち、継続的に改善していくことができます。

サイバー攻撃は、その規模や形態を問わず、あらゆる組織が標的となり得ます。これまでの年1回の研修や画一的な教育では、日々進化する脅威に対応することは困難です。

一度のインシデントが企業の存続に直結するリスクとなる今、組織を守るためにはAIを活用したセキュリティー教育の強化が求められています。