書籍『セキュリティ1年生 図解でわかる！会話でまなべる！』（上野 宣 著）の活用方法と社内教育への展開

セキュリティ教育、特に非セキュリティ人材に向けた教育は、常に企業にとって大きな課題です。筆者は普段、セキュリティエンジニアの視点から記事の発信やセミナーでの講演を行っていますが、かつては情報システム部門に所属していた経験もあります。

その立場から言えば、社内でセキュリティ教育を効率的かつ継続的に行うことは、想像以上に難易度が高い取り組みだと感じています。

そんな中、先日出会ったのが『セキュリティ1年生 図解でわかる！会話でまなべる！』（上野 宣 著）という一冊です。

セキュリティの基礎を解説した書籍は数多く存在しますが、イラストや図解を交え、非専門家でも直感的に理解できる構成を持つ本は意外と少ない印象です。本書は、まさに読みやすさと実践的理解を両立した貴重な入門書だと感じました。

ちなみに著者である上野 宣 氏は、セキュリティ教育や脆弱性診断、ペネトレーションテストなどを提供する株式会社トライコーダの代表でもあり、本書の信頼性がうかがえます。

今回の記事では、本書の概要を簡単に紹介したうえで、元情シスそして現役セキュリティエンジニアの視点から見た「社内セキュリティ教育への応用法」について考察していきます。

『セキュリティ1年生 図解でわかる！会話でまなべる！』は、セキュリティ専門職だけでなく、営業職・事務職・経営企画職など、日常的にITを使うすべての社員にとって価値のある内容です。

もし全員に読ませる時間が確保できない場合でも、1テーマ（パスワード管理、フィッシング、SNS運用など）を抜粋し、ミニ教育として取り上げるだけでも十分効果があります。

内容は図解・会話形式で非常に理解しやすいため、書籍を会社でまとめて購入して配布したり、情報システム部門が重要部分を抜粋して自社向け資料に再構成するといった形でも運用可能です。その際は引用元をしっかり明記の上、活用下さい。

教育の際に押さえるべきポイントは次の4点であると感じます。

こうした視点で、情シス部門が社内カリキュラムとして体系化することが理想です。用語の説明やなぜそれが危険なのかの説明は書籍で十分ですが、実際の事例や損害額・責任の所在等は、より具体化してそれぞれの業界に合わせた事例を紹介した方がリアリティが出るはずです。数値のリアリティ、最悪責任を取らなければいけないというリアリティを持った教育を目指しましょう。

セキュリティ教育は単なる座学ではなく、「自分の行動がどんな損失を生むのか」を具体的に想像させることがポイントです。

『セキュリティ1年生 図解でわかる！会話でまなべる！』のような基礎教育を全社員が理解している状態を作ることは、もはや任意ではなく企業としての責任です。IT時代を生きる企業として、社員のリテラシーは生産性や信用力と直結する経営リスク領域にあります。

特に、現場で多発しているのが以下のような人的要因による事故です。

アサヒグループのケースにも見られるように、攻撃者は最初から本丸を狙うのではなく、従業員の端末やクラウドを「足がかり」にして情報を抜き取り、半年〜数年かけて本攻撃を仕掛けるといった手法が一般的です。

以下は有償OSINT（オープンソースインテリジェンス）を使って取得した、とある情報インシデント前後のダークウェブ上での情報漏えいの動きです。実際の大規模インシデントから遡って1年半程度を費やし、情報漏えいをもたらす攻撃を仕掛けており、虎視眈々とタイミングを見計らっている可能性があったことが示唆されます。

侵入・永続化・内部偵察を経て、やがてランサムウェアでビジネスを停止させるといった、その「静かな準備段階」に気づけない企業は今も少なくありません。本丸の攻撃につながる情報漏えいのきっかけは、従業員によるインシデント起因であることも少なくなく、セキュリティ教育はそれを防ぐことが重要です。

ランサムウェアなどのサイバー攻撃の被害を受けた企業の中には「まさか自分たちが攻撃されるとは思わなかった」、「なぜいちいち被害を報告しないといけないのか」、「フォレンジック調査の意義が分からない。費用も高すぎる」、「そもそも次に何をすればよいのか分からない」といった声も少なくありません。本書は、そうした方々にもぜひ活用していただける内容になっています。

本来、個人情報保護委員会への報告は法的な義務であり、フォレンジック調査も原因究明や正確な発表、今後の再発防止のために不可欠な取り組みです。しかし実際には、「義務であることを知らなかった」「費用がかかるから調査は避けたい」といった理由で対応を後回しにしてしまう企業も見られます。

その結果、企業としての責任を問われたり、評判や取引先との信頼関係を失ったりするケースもあります。日頃のサイバーセキュリティ対策を怠ることは、結果的に経営上の大きなリスクにつながるという認識を、改めて持っていただくことが重要です。

本書では、セキュリティインシデント発生時の基本的な初動対応だけでなく、「なぜ報告が重要なのか」といった考え方や、経営層・上司に対して報告しやすい環境づくりについての話、さらに「犯人捜しを目的としない」組織体制のあり方についても解説しています。

本書を通じて、サイバーインシデントに強い企業づくりのきっかけを得ていただければ幸いです。

『セキュリティ1年生 図解でわかる！会話でまなべる！』は、読むだけで終わらせるのではなく、自社の教育計画や実践施策に組み込むことで最大の効果を発揮します。ここでは、社内研修やリテラシー教育における「書籍の活かし方」を具体例を交えて紹介します。

たとえば「パッチ更新」の章を扱う場合は、あらかじめ教育実施期間（例：2025年11月10日〜14日）を周知したうえで教材を配布し、書籍内の該当事例に加えて、必要に応じてIPAの動画や自社の過去事例を補助資料として用います。

教育のゴールは単に理解度を測ることではなく、Microsoft のアップデートやその他特定パッチの適用を実際に実施するタイミングを見据えて行動に結びつけることです。最後に、適用状況の確認まで含めて振り返ると、教育効果が一層高まります。

同様に、「標的型メール」や「インシデント対応」といった章では、実際の訓練とセットで紐づけて実施するとより効果的です。特にインシデント対応に関しては、「いざというとき、最初に何をすべきか」、そして 「どこへ、どのように報告すべきか」という初動対応の定着が最重要です。

非セキュリティ職にまで高度な判断を求める必要はありません。むしろ、「報告ができる」こと自体が最も重要な防御行動です。 したがって知識を問う小テストよりも、標的型メール訓練などで「怪しいメールを報告できるか」「誤クリック後に正しい初動が取れるか」を評価項目に加えると、より実践的な教育成果が得られます。

また、現在進行形でIR（インシデントレスポンス）対応などにも携わっている筆者ですが、実際の現場では「サポート詐欺に遭った後にPCをシャットダウンしてしまい、取得できたはずのログが失われてしまった」といったお客様事例も少なくありません。このように、怪しい事象が発生した際に従業員がどのように行動すべきかという点も、ぜひこの機会に社内で再確認していただきたいところです。

このように『セキュリティ1年生 図解でわかる！会話でまなべる！』を軸に、理解（教材）→実践（訓練）→検証（評価）という流れで四半期ごとに教育をサイクル化すれば、セキュリティ教育は“知識の共有”から“行動の文化”へと確実に変わっていくはずです。

上野宣．セキュリティ1年生 図解でわかる！会話でまなべる！．翔泳社，2025．