第6回SaaSセキュリティリーグ会議

「SaaSセキュリティリーグ」は、SaaSユーザー企業の実務者同士で情報交換を行う取り組みである。SaaS管理者やセキュリティ担当者を横串でつなぎ、知見交換を行うことで、セキュリティレベル向上に貢献していくことを目的としている。ここでは、「SaaSセキュリティリーグ」が行った第6回会議の内容をまとめて公開する。

問題点の概要

サイバー攻撃の巧妙化・多様化が急速に進む中、企業のセキュリティ対策において「人」の要素がかつてなく重要になっている。

• なぜ今、セキュリティ教育が問われるのか
  2024年の個人情報漏洩は年間約2,164万件。上場企業の情報事故は過去最多189件。インシデントの27.3%が人為的ミスに起因。
  東京商工リサーチ / サイバーセキュリティクラウド（2025年4月）
• セキュリティ教育投資
  中小企業はセキュリティ投資の優先順位として「教育・人材」よりも「ウイルス対策などの具体的な技術対策」を選ぶ傾向がある。
  IPA「2024年度中小企業実態調査」（2025年2月）
  70%が社内に体制 (専門部署等）がなく、64％が従業員へのセキュリティ教育を実施していない。41%が人材育成のための適切な演習がない・分からない。
  経済産業省（2025年5月）
• インシデント発生時の「心理的安全性」
  クリックした社員を非難する文化があると報告文化が育たない。フィッシング訓練は、クリック率5%以下・報告率70%以上を目標に、従業員の「気づく力」と「報告する文化」を育てましょう。
  フィッシング訓練の実務知見（BTNコンサルティング）

ディスカッション内容

各社が実際にやっていること

実施中の施策を共有したところ、以下のように各社の「リアルな現場感」が浮き彫りになった。

• グループ会社からEラーニングと迷惑メール訓練が降ってきて、それを実施している。
• 新入社員研修に2時間ほどのセキュリティ講義を盛り込んでいる。基本的な教育として、社用のPCの使い方とか、勝手にクラウド/AIのサービスを使わない、迷惑メール訓練等を行っている。
• 月1回でセキュリティ啓蒙資料を公開し、週次でコンテンツを提供している。
• セキュリティ・ワークショップを希望者向けに企画中である。タッチポイントを増やすことを意識している。
• 年1回のEラーニングとフィッシングメール訓練に加え、情報セキュリティポータルから時事ネタを発信している。社内インシデントの再発防止策を3か月に一度、事案ベースで共有している。
• グローバル企業であるので多言語対応が必須である。また、経営層向けのサイバーセキュリティ教育を外部機関と組んで実施し、部門長レベルにも個別に教育を展開している。
• セキュリティだけでなく、世の中で起こっている問題の研修を行っている。

「本当に身についている」か、正直なところ

• フィッシング訓練を繰り返しても、クリックしてしまう人は一定数存在する。抜けてしまうスパム等については問い合わせが増えているが、ウイルス検知については問い合わせが来ていなくて、うまく駆除できていない可能性がある。問題は、「報告する＝恥ずかしい」という空気が漂い、報告が滞ることである。
• メールテストの内容：差出人とURLのチェック、内容確認として緊急を煽るものを入れている。教育として見逃せないことは、Eラーニングでどのようなトピックを挟むかである。

従業員の「気づく力」と「報告する文化」が重要

• クリックした社員を非難する文化があると報告文化が育たない。目指すべきは「完璧な社員」ではなく、「気づいたら躊躇なく報告できる組織」である。
• 「空振りはかまわないよ！」を周知する。疑わしきは報告する文化の形成が重要である。
• Slackに報告用ワークフローを設けた企業では「わりと効果が出ている」という声がある。報告のハードルを下げる設計が、報告文化の醸成につながっている。

ルールを守らせるのか、リスクを理解させるのか

この問いに対して、参加者の意見はわかれた。 「ルールは出すが、背景を伝えることで理解につなげている。なぜそのサービスを使ってはいけないのか、セキュリティ的な理由を説明する」——という声がある一方で、「現場は余裕がないので教育時間を増やせない。基本を教えることがルールになるのかもしれない」という意見がある。

理解させたいのは山々だが、現場に余裕がない。基本を教えることがそのままルールになってしまうというのが現実のようである。したがって、重要なのは、ルールの背景にある「なぜ」を伝えることで、完全な理解は難しくても「疑わしきは報告」という行動原則を染み込ませることはできるのではないかと考える。

変えていくための4つのアプローチ

1. 継続的なタッチポイント
   年一回の研修だけでなく、週次・月次の小さな接触の積み重ねが必要である。ワークショップ、ニュースレター、Slack等を組み合わせるのが望ましい。
2. セキュリティチャンピオン
   万人向けの深い教育は難しい。まず各部門に「わかっている人」を育て、周囲を巻き込む構造を作る。
3. 経営層・部門長の巻き込み
   セキュリティを現場だけの問題にしない。経営課題として位置づけ、部門長が旗を振ることで優先度が上がる。
4. 効果測定と改善サイクル
   KnownBE4のような動画による教育も有効である。ツールを使うことで集計・測定が可能になるのが良い。「感覚」ではなくデータで効果を見える化し、改善につなげる。

どのアプローチも共通するのは「地道に続けること」である。セキュリティ教育に即効薬はない。以下のような日々の小さな改革の積み重ねが、組織のリテラシーを底上げする。

• 報告のハードルを下げる——Slackワークフロー、専用フォームなど「気軽に言える場」を作る
• 「空振りはかまわない」を明言する——報告した社員を絶対に責めない文化を経営層が宣言する
• インシデント事例を定期共有する——他社・自社の事例を定期的に共有し、「対岸の火事」にしない
• 効果を測定する——クリック率・報告率・アンケート結果を追い、改善サイクルを回す

おわりに

セキュリティ教育の難しさは、「やった」と「身についた」の間にある大きな溝である。年一回のEラーニングを全社員が受けても、翌日にフィッシングメールをクリックする人は出てくる。

大切なのは「完璧な社員を育てること」ではなく、「何か起きたとき、すぐ報告できる組織を作ること」である。そのための文化づくりは、ルール設計よりずっと時間がかかる。しかし、地道に続けることでしか変わらない。

以上