新入社員が“本当に怖い”と感じる!標的型攻撃を“自分ごと化”させる新人研修の進め方とは?

🔎【はじめに】新人ほど“狙われやすい”理由、知っていますか?

新入社員は、

  • 社内の人間関係や業務フローに不慣れ
  • 「上司の指示」に弱い
  • 社外とのやりとりに慣れていない

このような状況から、攻撃者にとって格好の標的になります。

実際、これは氷山の一角に過ぎませんが、とある製造業では「請求書の確認をお願いします」という偽メールに、入社1週間目の社員が添付ファイルを開いてしまい、感染が拡大寸前だったという事例も。

現場の教育リーダーには、“新人は狙われる”という前提でセキュリティ教育を設計する視点が求められます。

💡【教育のコツ】“知識の詰め込み”より“リアルな疑似体験”を

新入社員研修でありがちなのが、
「情報セキュリティの心得」資料を読み合わせるだけの座学。

でもそれでは、「実際に引っかかったらどうなるか」という危機感が湧きにくいです。

人手不足の中小企業では研修準備に時間も・手間も・費用もかけられないということで、ありものの資料を見せるくらいのことしかできないといった事情はあるかもしれませんが、たった1通のメールが会社を危機に陥れかねないといったリスクを考えれば、新入社員を対象とした研修については、座学だけではなく、もう一歩踏み込んだ内容とすることが望ましいと言えます。

✅【ステップ1】疑似攻撃メールで“引っかかる”体験をあえてさせる

▶ ケース事例:あるIT系企業の例

新入社員のメールアドレス宛に、研修担当者の名前を騙ったメールを送付。
件名は「今週のスケジュールについて」
本文には社内っぽい口調でGoogleドライブのリンクが貼られていた。

結果、28名中19名がクリック。
研修直後の座談会では、

「これ、本当に社内メールかと思った…」
「メール内容の違和感なんて、最初は気づけない」

というリアルな声が多数。

疑似体験は、聞いて知っているというだけでは得られなかった「実感」が、実際に体験することで「実感」として伝わる好例と言えます。

また、新入社員の場合は既存社員よりも、標的型攻撃メール訓練を通じて伝える内容を素直に受けれてもらいやすいので、より実感してもらいやすいということもあります。

✅【ステップ2】メールの“違和感”を言語化する演習

▶ 実践アイデア:

メール文を数パターン用意し、グループで以下を議論させます。

  • このメール、どこが怪しい?
  • なぜそれを怪しいと感じた?
  • どこをチェックすればよかった?

「怪しいと思った理由を言葉にする」練習をすることで、本番のメールでも直感+理屈で判断できるようになります。

研修教材を読むだけでは教材に載っている事例の裏側にある”本質”を掴むことはできません。自身の頭で考え、言語化し、周囲に説明することができるようになってこそ、本当に”理解した“と言えます。

✅【ステップ3】動画教材で“被害のリアル”を可視化

例えば、
「標的型攻撃で顧客情報を漏えい→取引停止→会社が倒産」という
ストーリー仕立てのアニメーション動画。

感情に訴えることで、「自分の一挙手一投足が、会社全体に影響を与える」と理解できます。

新入社員の場合は入社したての緊張感から、失敗してしまうことに特に敏感になっています。もし自分がやらかしてしまったら…という恐怖心は、標的型攻撃によるリスクをより”自分ごと”として捉えてもらいやすいタイミングと言えます。

【参考動画】そのメール本当に信用してもいいんですか? ~標的型サイバー攻撃メールの手口と対策~(IPA提供)

🔁【研修後の工夫】ただ終わるのではなく、“記憶に定着させる”

  • 訓練後はすぐに振り返りワーク(例:「騙された自分に手紙を書く」)
  • 1か月後に再テスト(定着度の確認)
  • 失敗体験を共有する場を設けて“恥を価値に変える”

新入社員の研修では様々なことを学んでもらう必要がありますので、セキュリティにばかり時間をかけるわけにはいきませんが、情報セキュリティに関する失敗は会社の存続にすら影響を与えかねないものになりますので、リスクの大きい事柄については、知ってもらうだけでなく、常に意識してもらえるレベルにまで”記憶に定着させる”ことが必要です。

大きな事故が起きてから、”研修の時に聞いて知ってはいたんですが…”といった言葉が出てきても後の祭りです。

🛠️まとめ|新入社員教育は、“やらかしても安全”な疑似失敗の舞台”をつくること

新入社員が本番でミスをする前に、
安全な場で“失敗”を体験させることこそが教育の本質です。

「何が怪しいか」ではなく「どこを見れば安全か」を身につけさせるために、
現場主導の体験型研修を、ぜひ取り入れてください。

今は無料で使える動画やボードゲームなどの教材が「独立行政法人 情報処理推進機構(IPA)」などから提供されています。

予算が無いという企業はこういった教材を活用して、予算がある企業なら、自社である程度費用を投じて自社独自の内容を盛り込んだ教材を作成するのも有りでしょう。

フレッシュだからこそ、様々なことを吸収しやすい”新人研修”というこのタイミングを逃さず、様々な失敗を体験してもらって、記憶に強く残り続ける研修を実施したいものです。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示