eラーニングブログ

Blog

2021.02.23

2026.06.29

オリジナル教材

標的型攻撃メールから身を守るには?情報セキュリティ教育の重要性から課題、解決のポイントまで解説!

  • カテゴリ

  • おすすめ記事

  •  

    Moodle導入支援・運用サービス
    eラーニング教材制作サービス

    近年、特に深刻化しているのが「標的型攻撃メール」による被害です。巧妙に偽装されたメールの添付ファイルを開いたり、リンクをクリックしたりするだけで、社内システムが乗っ取られたり、機密情報が抜き取られたりする恐れがあります。

    そこで重要なのが「情報セキュリティ教育」です。社員一人ひとりがリスクを正しく理解し、具体的な対応策を身につけておくことで、攻撃の被害を未然に防ぐことができます。 今回は、標的型攻撃メールの特徴や、企業が行うべき情報セキュリティ教育の方法と課題、さらには行う際のポイントまで詳しく解説します。



    1. 企業を取り巻く、さまざまな情報セキュリティリスク

    情報セキュリティ対策の出発点は、どのような「リスク」があるかを把握することです。業務の中で、機密情報を漏えいする危険性がどのくらいあるかを考えます。
    リスクには、「脅威」と「脆弱性」があります。脅威とは、リスクを引き起こす要因です。人の行為による人為的脅威と、災害などの環境的脅威があります。

    <脅威の例>

    脆弱性とは、脅威によって突かれる弱点です。ウイルス対策が不十分、ソフトウェアの不具合、建物の施錠ができていないなど、セキュリティの穴を指します。
    脆弱性が多いほど、悪意のある攻撃者に狙われ、機密情報を盗まれる可能性が高まるわけです。


    2. 被害が増えている「標的型攻撃」

    悪意のあるサイバー攻撃といえば、以前は、不特定多数を狙う愉快犯のようなものが主流でした。しかし最近は、特定の組織や個人を対象とした、金銭を得るための攻撃が主流になりつつあります。
    この、「特定の組織や個人」を対象に行われる攻撃を、「標的型攻撃」といいます。

    標的型攻撃のうち、特に多いのが、メールによる攻撃です。
    例えば、A社の機密情報を狙う攻撃者が、A社の社員宛に「うっかり開いてしまいそうな」偽装メールを送り、社員のPCをウイルスに感染させます。感染したPCから、社内ネットワークを通じてウイルスを拡散させ、PCやネットワーク上の機密情報を盗み出したり、システムを破壊したりします。
    これらの攻撃は長期間継続して行われることが多く、気づかないうちに情報を盗まれていた、ということも少なくありません。

    IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」によると、標的型攻撃は、2016年から2026年まで、11年間連続でランクインしています。2020年までは、5年間に及び、「組織における脅威」ランキングの1位でした。なお、2015年より以前は「組織」「個人」の区別がなかったため、組織の脅威について調べ始めて以来、ずっと挙げられているということです。それほど、被害件数の多い攻撃なのです。

    2020年11月には、日本の大手ゲーム会社が、標的型攻撃により個人情報を流出、身代金を要求される事件が発生しました。同社を標的としたランサムウェア(盗んだ情報と引き換えに身代金を要求する攻撃)に感染したことで、最大約35万件分の個人情報が流出した可能性があるようです。


    3. 標的型攻撃の手口はますます巧妙に!「大企業しか狙われない」は誤解

    標的型攻撃の手口は、実に巧妙です。標的とする企業を入念に調査し、例えば「どのようなタイトルであればメールを開きやすいか」などを考えた上で攻撃を仕掛けてきます。社員のSNSを調べたり、ときには社内の人間関係まで調べたりもします。
    メールの差出人や添付ファイルも、一見しただけでは見破れないような偽装がされています。

    標的型攻撃は「大企業だけを標的にしている」「自分には関係ない話だ」と考える人もいますが、それは誤解です。企業の規模、所属する部署、役職などにかかわらず、誰もが狙われる可能性があります。官公庁や団体にも攻撃は行われています。

    例えば、A社を狙う攻撃者は、A社の委託先B社、再委託先C社、取引先D社、サーバ管理E社など、少しでも関連する人たちに罠をしかけます。誰か1人でもウイルス感染させられれば、そこから感染を広げ、最終的にA社の機密情報まで辿り着くことができるからです。


    4. 標的型攻撃メールは、対策ソフトでは弾けない!具体策は?

    サイバー攻撃の中でも特に巧妙な「標的型攻撃メール」は、一般的なウイルス対策ソフトでも完全に防ぐことは難しいと言えます。では、企業が取り組むべき予防策とはどのようなものでしょうか。以下に具体的な対策を紹介します。

    〈対策.1〉件名や内容が不自然なメールをそもそも開封しない(本人確認の上、開封)
    件名が不自然だったり、緊急性を装う場合は注意が必要です。送信者本人に一度確認するなど、慎重な対応を心がけましょう。
    その際は、メールでの問い合わせではなく、電話や直接顔を合わせて確認する、公式サイトから問い合わせる、といった手段を取りましょう。

    〈対策.2〉添付ファイルは開かない、URLをクリックしない
    WordやExcelなど、見慣れた形式のファイルでもウイルスが仕込まれている場合があります。安易なクリックは避けて、少しでも不審な場合は開かないのが原則です。

    〈対策.3〉メールに関する教育の実施
    全従業員が「なぜこのメールが怪しいのか」「どう対処すべきか」を理解できるよう、eラーニングや定期的な研修で教育を徹底しましょう。

    〈対策.4〉システム管理者への報告フローを策定
    怪しいメールを開封させないためには、発見時の報告体制の整備が重要です。すぐにシステム管理者へ報告が届くフローを定めておくことで、被害を未然に防げます。

    〈対策.5〉標的型攻撃メールの訓練
    実際に“疑似攻撃メール”を送る訓練を行うことで、社員の意識と対応力が向上します。座学とセットで実施するのが効果的です。

    〈対策.6〉メールフィルタの適用
    セキュリティフィルタを適用することで、迷惑メールなどの一定の攻撃を自動でブロックすることができます。しかし、標的型攻撃はメールフィルタの目をかいくぐることを前提に作られているため、あくまでも“第一防線”に過ぎません。

    〈対策.7〉送信元ドメイン認証技術の導入
    「なりすまし」を防ぐために、SPF・DKIM・DMARCといった、送信元ドメイン認証技術を導入するのも効果的です。

    なお、ランサムウェアに関する詳しい解説は、以下の記事でご確認いただけます。
    ランサムウェアとは? 攻撃プロセスや感染経路、取るべき対策を解説!


    5. システムやソフトウェアに頼りすぎず、個人のセキュリティ意識を育てる

    ウイルス対策ソフトなど、情報セキュリティ対策のためのシステムやソフトウェアの導入はもちろん必要です。しかし、情報セキュリティ対策は、「このセキュリティソフトを導入すれば絶対に大丈夫」というものではありません。攻撃者の手口はどんどん巧妙になり、ソフトでは防げない攻撃も増えてきています。

    「常に守られていて安全だ」という考えは捨て、従業員1人ひとりが情報セキュリティ対策の正しい知識を身につけ、日々の業務を注意しながら行うことが何よりも重要です。情報セキュリティ教育を通じて、個人のセキュリティ意識を育てていきましょう。


    6. 情報セキュリティ教育の方法

    情報セキュリティ教育において、単に知識やルールを伝えるだけでは効果は十分と言えません。大切なのは、従業員一人ひとりが「自分ごと」として捉え、日々の業務にセキュリティ意識を落とし込むことです。ここでは、具体的な教育手法とその進め方をご紹介します。

    【主な教育手法】

    〈1〉eラーニング
    パソコンやスマホなどのモバイル端末で受講できるため、場所や時間を問わず学習可能。繰り返し受講ができたり、受講履歴を管理できる点もメリットです。

    〈2〉社内研修
    自社のルールや事例に即した内容を扱えるのが強みです。担当者が直接説明することで、双方向の理解促進も期待できます。

    〈3〉社外セミナー・集合研修
    最新のセキュリティ動向や専門家の視点を学べる貴重な機会です。外部の目線から刺激を得ることで、学習者の意識向上につながります。

    〈4〉動画教材
    短時間で効率よくポイントを伝えられるうえ、視覚的にわかりやすいのが魅力です。リスク事例やマナー違反などを“見て”理解することができます。

    【実施までの流れ】

    〈STEP.1〉教育内容やテーマを明確にする
    「パスワード管理」「標的型攻撃とは」「情報漏えいのリスク」など、目的に応じたテーマを絞りましょう。漠然としたテーマでは十分な効果が出にくくなります。

    〈STEP.2〉教育対象者を選定する
    新入社員、管理職、全従業員など、学習する対象者によって伝えるべき内容や深度は異なります。対象に合わせた教材の設計がポイントです。

    〈STEP.3〉教育実施の頻度やタイミングを想定する
    入社時、異動時、年1回の全従業員研修など、リスクの高まりや組織の動きに応じて実施のタイミングを決めましょう。

    〈STEP.4〉教育を実施する手段を検討する
    対象者の人数や業務形態に応じて、eラーニング、集合研修、動画など最適な手法を選びましょう。複数の手段を組み合わせるのも効果的です。

    〈STEP.5〉教材の作成・手配を行う
    教材の構成や手段が決まったら、作成または手配を進めましょう。自社で制作する場合は、実際の業務や事例と結びつけて内容に具体性を持たせることがポイントです。さらに、定期的に内容を見直し、改善を重ねることで、より効果的な教材にブラッシュアップしていきます。

    なお、教材作成のポイントなどについては、以下のコラムでも詳しく解説しています。
    情報セキュリティ教育とは?実施方法から教材作成のステップ、eラーニング教材の作成方法までご紹介!


    7. 情報セキュリティ教育の課題

    情報セキュリティ教育は大変重要で、既に多くの企業で研修が導入されています。しかし、いざ実施してみると「受講しても効果が見えない」「形だけになっている」といった声も少なくありません。この章では、情報セキュリティ教育でよく見られる5つの課題を整理します。

    〈課題.1〉受講者のモチベーション低下
    内容が単調だったり、講義時間が長すぎたり、一方向の話し方が中心だったりすると、受講者の集中力が続きません。また、社内の職員が講師を務めるケースでは、適度な緊張感が生まれにくく、研修にメリハリが欠けることもあります。

    〈課題.2〉リアリティがない
    特に座学中心の研修では、実際の現場をイメージしづらく、内容が「自分ごと」として捉えられないことがあります。そのため、いざというときに適切な対応ができないリスクが高まります。

    〈課題.3〉最新情報が未反映
    情報セキュリティ分野は日々変化しており、新しい攻撃手法や対策が次々に登場しています。こうした変化に迅速に対応し、教材へ反映させることは、内製で研修を運用している企業にとって大きな負担となりがちです。

    〈課題.4〉教育効果が感じられない
    研修後のフォローアップや復習の機会がない場合、情報セキュリティに関する知識が定着せず、危機意識が薄れてしまうケースが起こり得ます。その結果、教育効果が感じられないという問題が発生しがちです。

    〈課題.5〉研修の形骸化
    1〜4のような課題を放置していると、研修が単なる「やるだけ」のルーティンに成り下がってしまいます。受講者の関心は薄れ、研修の目的や意義を感じ取れなくなることで、学ぶ意欲そのものが失われてしまいます。

    よくある課題と解決策については下記のコラムでも解説していますので、合わせてご覧ください。

    社内の情報セキュリティ教育のよくある課題と解決策をご紹介!


    8. 情報セキュリティ教育を行う際のポイント

    情報セキュリティ教育にはさまざまな課題があるものの、工夫次第でその効果を大きく高めることができます。ここでは、実施時に意識しておきたい5つのポイントを紹介します。

    <Point.1>eラーニングの活用
    時間や場所を問わず学ぶことができるeラーニングは、忙しい業務の合間でも受講しやすく、進捗管理や復習にも便利です。内容を定期的に更新し、受講者に合った設計を行うことで効果が高まります。

    <Point.2>楽しく学べる要素の導入
    クイズやアニメーション、ドラマ仕立てなど、教材に“楽しさ”を盛り込むことで受講者の関心と理解が深まります。飽きさせない工夫がカギです。

    <Point.3>実践を伴うトレーニングの拡充
    標的型攻撃メールの模擬訓練やケーススタディなどを通じて、「知識を得る」から「行動に移す」力を育てることが重要です。このような実践体験を経験することが、緊急時の判断力・応用力につながります。

    <Point.4>自社に合わせたカスタマイズ
    一般論だけでなく、自社のルールや業務に即した内容にすることで、「自分には関係ない」と捉えることを防ぎ、実感を持って学習することが期待できます。

    <Point.5>効果測定・フォローアップ
    テストやアンケートによる振り返りだけでなく、数カ月後の行動変化やインシデント発生状況の変化も意識しましょう。継続的な見直しと改善が学習成果につながります。

    eラーニングによる情報セキュリティ研修の成功のポイントについては、下記のコラムでも解説していますので、合わせてご覧ください。

    eラーニングで情報セキュリティ教育を行う際の成功ポイントとは?実施手順や教材の選び方もご紹介


    9. テレワーク実施企業の、情報セキュリティ教育で追加すべき項目

    テレワークの普及により、情報セキュリティ対策の対象範囲は「社内」から「各自の作業環境」へと広がりました。従業員がオフィスとは異なる環境下で働くケースも増えたため、教育内容もアップデートが必要です。

    ここでは、テレワーク実施企業が情報セキュリティ教育で追加すべきポイントを整理します。

    ●会社から持ち出す情報の注意点

    紙資料やUSBメモリなど、物理的に社外へ持ち出す情報には特に注意が必要です。持ち出し可否のルールや、紛失・盗難時の報告体制なども教育内容に含めましょう。

    ●持ち出し端末のセキュリティ対策

    ノートPCやスマートフォンには必ずパスワードや暗号化を設定し、OSやセキュリティソフトは常に最新状態を保つことが基本です。リモートロック・リモートワイプの設定も忘れずに行いましょう。

    ●作業用PCの情報セキュリティ対策

    家族共有の端末や、私物端末での作業にはリスクが伴います。業務専用PCの利用や、不要なアプリの削除、画面ロックの徹底など、基本動作の徹底が重要です。

    ●作業空間における情報セキュリティ対策

    社外のさまざまなシーンでは、第三者に画面を覗かれたり、会話を聞かれたりする可能性があります。物理的なのぞき見防止や音声漏洩対策も教育の一部としてピックアップしましょう。

    ●メール・Web会議、VPNなどコミュニケーション手段の情報セキュリティ対策

    誤送信や不正アクセスを防ぐため、メールの宛先確認やVPN接続時のルール、Web会議の入室設定(パスワード・待機室など)を徹底しましょう。

    ●無線LAN利用時、クラウドサービス利用時の注意点

    公衆Wi-Fiの利用や、クラウドストレージの誤設定により情報が漏洩するケースも考えられます。暗号化されたネットワークの使用や、クラウドサービスのアクセス権限管理は重要な教育内容です。

    テレワークにおける情報セキュリティ対策については、下記のコラムで詳しく解説していますので、合わせてご覧ください。

    テレワークにおける情報セキュリティ対策をわかりやすく解説!


    10. 情報セキュリティ対策に使えるeラーニング教材

    ヒューマンサイエンスで提供している、eラーニング原稿 簡単アレンジシリーズ「企業で取り組む情報セキュリティ対策の基礎 <事例編>」は、情報セキュリティ対策のひとつとして、従業員への情報セキュリティ教育にお使いいただけるコースです。「標的型攻撃」「サプライチェーンへの攻撃」「ランサムウェア」3つの脅威を紹介しています。

    さらに、「情報セキュリティ基礎コース - 標的型攻撃」では、代表的な手口やその対策方法についてご説明しています。

    PowerPoint形式なので、自社の方針や事例を追加したり、社長メッセージを加えたりするなど、自由に編集してお使いいただけます。
    この2つのコース以外にも、各種取り揃えています。

    情報セキュリティ対策にお悩みの方は、ぜひご検討ください。

    eラーニング原稿 簡単アレンジシリーズ
    「企業で取り組む情報セキュリティ対策の基礎 <事例編>」
    「企業で取り組む情報セキュリティ対策の基礎」
    「情報セキュリティ基礎コース - パソコンやスマートフォンの情報セキュリティ」
    「情報セキュリティ基礎コース - テレワーク・リモートワークの情報セキュリティ」
    「情報セキュリティ基礎コース - 標的型攻撃」
    「情報セキュリティ基礎コース - ランサムウェア」


    11. まとめ

    サイバー攻撃の高度化やテレワークの定着により、企業に求められる情報セキュリティ対策は、これまで以上に多面的かつ実践的なものとなっています。こうした中で、情報セキュリティ教育のあり方も、常にアップデートしていくことが求められています。

    単なる知識のインプットにとどまらず、従業員一人ひとりのリスク感度を高め、日々の業務で適切な判断と行動が取れるようサポートする教育が必要です。そのためには、eラーニングなどの効率的かつ効果的な学習手段を活用し、教育を継続的に実施していくことがポイントです。

    ヒューマンサイエンスでは、これまでに3,000件ものお客さまの課題を解決してきたノウハウを活かし、企業の課題や業務環境に応じたeラーニング教材の開発・導入支援を行っています。情報セキュリティ教育の見直しや、効果的な運用方法にお悩みの方は、ぜひお気軽にご相談ください。