チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「AIが作ったフィッシング、うちの社員は見抜けるのだろうか?」
「年1回のeラーニングだけで本当に足りているの?」
チップスボス、AI攻撃が怖いって話、研修でもやったけど正直ピンと来ないでしゅ……
ボスFortinetの最新調査によると、9割の組織が「AI攻撃で教育の重要性は高まった」と認識している。一方で、実際に従業員が対応できていると答えたのは4割にとどまる。意識と実践に大きな差があるのだ。
Fortinetが公開した「Security Awareness and Training Report 2025」は、AI時代のセキュリティ教育の現在地をまとめた国際調査です。
日本でも2026年4月21日にITmediaが主要結果を報じ、IPA「情報セキュリティ10大脅威 2026」でAI利用リスクが初の3位入りしたことと重なりました。
この記事では、ギャップが生まれる理由と、明日から見直せる教育プログラムの勘所を整理します。
人事・情シス部門の方にこそ、現場で使える具体策が届く内容です。
意識の高さと行動の伴いは、セキュリティ教育の古くて新しい課題です。
Fortinetが世界の意思決定者を対象に実施した調査で、9割近い組織が「攻撃者のAI活用で従業員の意識が高まった」と答えました。
ところが、「従業員がAI脅威を識別・回避・報告できる状態にある」と答えた経営層は約40%にとどまります。
さらに、フィッシング模擬訓練の実施率は2024年の86%から73%に減少しており、意識と実行の差が広がっています。
IPAの10大脅威2026でAI関連リスクが初めて3位に入ったことと併せて読むと、日本企業にとっても他人事ではありません。
| 指標 | 2024年 | 2025年 |
|---|---|---|
| AI攻撃で教育重要性が増したと認識 | ― | 約90% |
| 従業員がAI脅威に対応できると回答 | ― | 約40% |
| フィッシング模擬訓練の実施率 | 86% | 73% |
チップス模擬訓練までサボってる会社が増えてるんでしゅか?怖いでしゅ!
「年1回のeラーニング」のままでは、AI攻撃の進化に追いつけません。小さく速く回す仕組みが求められます。
Fortinetのレポートは、短時間で高頻度に回すマイクロラーニングと、経営層の明確な支援を成功条件に挙げています。
生成AI製フィッシング、ディープフェイク音声によるvishing、SMS由来のsmishingなど、実際の攻撃サンプルを使った体験型コンテンツが有効です。
完遂率の可視化と部署別KPI化も、現場の本気度を上げるうえで効果的です。
社内での生成AI利用が広がるほど、機密情報を誤って投入するリスクも増します。
利用可能なLLMと禁止事項を定めた社内ポリシーを、半年単位でアップデートする運用が欠かせません。
さらに、AIフィッシング被害を想定した机上演習を年2回以上行うと、通報経路や初動対応の練度が上がります。
ボス教育は一度きりの花火ではない。続ける仕掛けを用意できるかで、組織の地力が決まる。
AI攻撃への危機感は多くの企業に広がっていますが、従業員が実際に見抜ける水準に届いているのは一部にとどまります。
短尺・高頻度・実物ベースの教育と、生成AI利用ポリシーの継続更新。
この2つを両輪に据えることで、意識と実践のギャップを少しずつ埋めていけます。
チップスチップスもマイクロラーニングなら続けられそうでしゅ!
AI時代のセキュリティ教育を形にする役割は、これからの情シス・セキュリティ担当の中核業務になります。
スプラッシュエンジニアリングでは、社内教育設計や模擬訓練の企画に携われる案件をご紹介しています。
