世界29の国と地域の組織の最新動向「セキュリティ意識とトレーニング調査レポート 2025年版」

2026年05月11日 09時00分更新

文●フォーティネットジャパン　編集●ASCII

提供: フォーティネットジャパン

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フォーティネット、セキュリティ意識とトレーニングに関する年次グローバル調査レポートの最新版を発表」を再編集したものです。

フォーティネットは、昨年11月、第三者機関への委託により、日本を含む世界29の国と地域の組織に属する計1,850人のITセキュリティ関連の意思決定者を対象にオンラインインタビューを実施し、このほどその結果を集計、分析した年次グローバルレポート「セキュリティ意識とトレーニング調査レポート 2025年版」を発表しました

以下のブログでは、セキュリティ意識向上を目的としたトレーニングとインシデント削減効果との相関関係、AIがいかにサイバーリスクの様相を変えているか、そして従業員のレディネス（準備状況）に関する改善の余地など、本調査に基づく主な所見を紹介します。

セキュリティ意識向上トレーニングは、もはや単にコンプライアンスに対応するための施策ではなく、サイバーリスク低減に直結し、効果を可視化できる対策となっています。世界1,850人のIT / セキュリティリーダーからの回答に基づく「セキュリティ意識とトレーニング調査レポート 2025年版」は、明確な進展を示すとともに、組織が依然として直面しているリスクも明らかにしています。

セキュリティおよびリスク担当のリーダーにとって最も重要なポイントを以下に紹介します。

AI主導の脅威が従業員の意識を高めた一方、そのレディネスには依然としてばらつきが

AI主導の脅威は、サイバーセキュリティに対する従業員やリーダーの考え方を変えました。約90%の組織が、AIを悪用した攻撃の拡大により、セキュリティトレーニングの重要性に対する従業員の意識が高まったと述べています。しかし、意識とレディネスは同じものではありません。AIベースのサイバー脅威を特定、回避、報告できるよう、自社の従業員がトレーニングを受け、十分に対応可能な状態にあると考えるリーダーは、約40%にとどまっています。

<出典：「セキュリティ意識とトレーニング調査レポート 2025年版」　p.8>

多くの組織は、生成AIツールの適切な利用方法について従業員をトレーニングし、機密データの共有を監視、制限し、適正とされているAIセキュリティポリシーを全社で導入するなどの対応を講じています。ほぼすべての回答者が、AIおよび大規模言語モデル（LLM）ツールに関するセキュリティポリシーをすでに導入済み、または積極的に導入中であると述べています。進むべき方向性は明確ですが、実行と一貫性の側面では課題が残っています。

<出典：同調査レポート　p.10>

外部からの脅威がトレーニングの導入を促進する一方で、内部リスクへの懸念も急速に拡大

外部からの脅威や過去のセキュリティ侵害、業界で発生したインシデントは、依然として組織がセキュリティ意識向上トレーニングに投資する主な理由になっています。40%以上の組織が、これらを導入の主な動機として挙げています。一方で変化しているのは、インサイダーリスクへの懸念の高まりです。現在、4分の1以上の組織が、トレーニング導入の理由としてインサイダーリスクを挙げており、この割合は昨年から急増しています。

この変化はトレーニングの優先順位にも反映されています。データセキュリティとデータプライバシーが依然として主要なテーマである一方、AIベースのツールや脅威もそれに迫る勢いを示しています。こうした整合性は極めて重要であり、組織がトレーニングを法規制遵守のための形式的な実施項目として扱うのではなく、現実のリスクと結び付けて捉え始めていることを示しています。

<出典：同調査レポート　p.15>

セキュリティ意識向上トレーニングによるインシデント低減効果は高く、その実証も可能

本レポートにおける最も重要な知見の一つとして、トレーニングが効果を発揮するという点が挙げられます。67%の組織が、セキュリティ意識向上トレーニングの導入後に侵入、インシデント、侵害が「中程度」または「大きく」減少したと報告しています。

<出典：同調査レポート　p.23>

測定手法も成熟しつつあります。最も一般的な測定指標には、セキュリティインシデントの減少、従業員からのフィードバック、セキュリティ監査などが挙げられます。現在、多くの組織が対面式およびPCベースのトレーニングに、模擬演習、評価、継続的な定着支援を組み合わせています。こうした取り組みは、単発のトレーニングから脱却し、行動変容と継続的なリスク低減を目的としたプログラムへの移行を示唆しています。

<出典：同調査レポート　p.21>

弱点は依然としてトレーニングの完了率と一貫性

測定手法や成果は改善しているものの、多くの組織は依然として徹底した実施について課題を抱えており、トレーニングを完全に遂行していると報告した割合は非常に低くなっています。同時に、7割近くのリーダーが、依然として従業員のセキュリティ意識が低いと回答しています。

<出典：同調査レポート　p.29>

これは、投資と成果の乖離を浮き彫りにしています。脅威環境が変化する中で、未修了、未定着のまま留まっていたり、最新の状態に更新されないトレーニングでは、本来の価値を発揮できません。本レポートは、実践的な改善策として、所要時間が短いモジュールによる頻繁なトレーニングの実施修了を確認する責任の明確化、最新の脅威にも対応可能なトレーニング内容の提供、そして上層部による明確な支援を挙げています。さらに、AIの進歩に追随するため、定期的かつ短時間で実施できるマイクロトレーニングの必要性がますます重要になっています。

セキュリティ意識は、単なる業務上の必須手順であることを超え、企業文化的な課題に

現在、多くのリーダーは、セキュリティ意識がIT / セキュリティ部門だけの責任ではなく、組織全体で担うべきものだと捉えています。また、ほぼすべてのリーダーが、リスクの高い行動を管理する手段としてポリシーの活用に前向きであり、特にその背後にある根拠を理解させるトレーニングと組み合わせることを重視しています。

<出典：同調査レポート　p.23 / p.29>

これは重要な変化です。効果的なセキュリティ意識向上トレーニングで重要なのは、テストに合格することではありません。日々の意思決定を形成し、適切な行動を定着させ、実際に業務が行われる現場でのリスクを低減することです。

2026年以降への示唆

本調査では、セキュリティ意識向上トレーニングはインシデントを減少させていること、そしてトレーニングに投資し、その効果を測定する組織は、実際に成果を得ていることが改めて示されました。しかし、AIの登場により、攻撃の高度化と、ビジネスでのAI活用の両方が急速に進んでいます。同時に、インサイダーリスクも高まっています。そして、あまりにも多くのプログラムが、完了率の低さや内容の陳腐化により、依然としてその効果を発揮できていません。

効果的なトレーニングを実施するには、継続性と関連性が不可欠であり、単なる付随的なプロジェクトではなく、リスク管理対策の中核にトレーニングを位置付ける必要があります。

フォーティネットのトレーニングで、より強固な組織を構築

Fortinet Training Instituteは、お客様がセキュリティ意識を測定可能なリスク低減策へとつなげる支援を提供しています。役割に応じたセキュリティ意識向上トレーニングから、技術認定、実践的な学習パスに至るまで、従業員の対応力を高め、セキュリティ態勢を強化するように設計されたプログラムをご利用いただけます。

フォーティネットのセキュリティ意識向上およびトレーニングプログラムを通じて、今日の脅威や将来のリスクに対応できる人材の育成についてご確認ください。