AIで巧妙化するフィッシング攻撃 企業に求められる「行動優先」のトレーニングとは

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「AIを活用したサイバー攻撃には、単なる意識向上ではなく、行動優先のセキュリティトレーニングが必要」を再編集したものです。

米国で掲載ブログの抄訳です 2026年7月14日火曜日

 人工知能により、従業員全体でサイバーセキュリティ意識の可視性が高まっています。従業員は、攻撃者がAIを使用してフィッシングメッセージをより説得力のあるものにし、なりすましをより信憑性の高いものにし、ソーシャルエンジニアリングを検出しにくくできることを、ますます理解するようになっています。また、多くの従業員がAIツールを使用して、コンテンツの下書き、情報の要約、データの分析、コードの記述、ログのレビュー、または日常的な意思決定の支援を行っています。

 可視性は重要ですが、意識と準備は同じではありません。セキュリティおよびビジネスリーダーにとっての運用上の課題は、もはや従業員がAI関連のサイバーリスクが存在することを知っているかどうかだけではありません。それは、メッセージが正当に見えるとき、AI生成の要約がもっともらしく思えるとき、ツールが機密データを要求するとき、または緊急の要求が信頼できる情報源から来ているように見えるときに、リアルタイムでそれらのリスクが現れた際に、従業員が正しい意思決定を行えるかどうかです。

 2025年セキュリティ意識向上とトレーニングに関するグローバル調査レポートによると、88%の組織が、悪意のある攻撃者によるAIの使用の増加により、セキュリティ意識向上とトレーニングの重要性に対する従業員の理解が大幅にまたはある程度向上したと報告しています。これは心強いことです。AI駆動型の脅威により、従業員はサイバーセキュリティをITやセキュリティチームだけが所有する責任としてではなく、日常業務の一部として捉えるようになっています。

 しかし、同じレポートは明確な準備のギャップを示しています。回答者のわずか40%が、従業員が来年にわたってAIベースのサイバー脅威を特定、回避、報告するための高度なトレーニングを受け、準備ができていると答えています。別の58%は、従業員がモデレートまたはわずかに準備ができているだけだと答えています。

 このギャップこそが、セキュリティ意識向上トレーニングが進化しなければならない領域です。AI駆動型の脅威環境では、意識だけではリスクを軽減できません。組織には、状況が不明確な場合に従業員が判断を適用し、ポリシーに従い、適切に対応できるよう支援する、行動優先のトレーニングが必要です。

AIは既知のリスクを認識しにくくする

 AIは従業員リスクの全く新しいカテゴリーを生み出しただけでなく、既存のリスクも検出しにくくしています。フィッシングEメールはより良く書かれているかもしれません。偽のベンダーからの要求はより信頼できるように聞こえるかもしれません。詐欺的なメッセージは、公開情報源、侵害されたデータ、または以前のやり取りからの情報を使用してパーソナライズされているかもしれません。攻撃者はAIを使用して、トーンを調整し、明らかな文法の誤りを削除し、または信頼できる同僚、経営幹部、お客様、またはパートナーの言葉遣いを模倣するかもしれません。

 これにより、従業員がサイバーセキュリティトレーニングに必要とするものが変わります。従来の警告サインは依然として重要ですが、もはや十分ではありません。従業員は、AIが彼らが頼るように訓練されてきた手がかりをどのように変えることができるかを理解する必要があります。また、速度を落とし、要求を検証し、疑わしい活動を報告し、リスクの高いショートカットを避けるための実用的な方法も必要です。

 これは、AIリスクが組織外部からの攻撃に限定されないため、特に重要です。従業員は業務の一部としてAIツールも使用しています。明確なガイダンスがなければ、従業員は機密データを公開ツールに貼り付けたり、レビューなしにAI生成コンテンツに依存したり、未承認のアプリケーションを使用したり、AI出力がビジネス、セキュリティ、プライバシー、または準拠規格リスクをもたらすことを認識できなかったりする可能性があります。

 そのため、AIセキュリティ意識向上トレーニングは行動に焦点を当てる必要があります。目標は、従業員がAI対応の脅威が存在することを理解するのを助けることだけではありません。それは、従業員がそれらの脅威に遭遇したときに異なる行動をとれるよう支援することです。

AIガバナンスは従業員の実行に依存する

 多くの組織は、すでにAI関連のリスクを管理するための措置を講じています。レポートによると、53%が生成AIツールの適切な使用について従業員をトレーニングしており、同じ割合がこれらのツールとの機密データの共有を監視または防止するテクノロジーを使用しています。48%がAIツールの使用を管理するポリシーを確立しており、45%が承認されたアプリケーションのリストを維持しています。

 このような管理は重要ですが、従業員がそれらを適用する方法を理解している場合にのみ機能します。AIツールとの機密データの共有を禁止するポリシーは必要です。しかし、従業員は、何が機密に該当するのか、どのツールが承認されているのか、どの情報を安全に使用できるのか、いつガイダンスを求めるべきかを知る必要もあります。承認されたアプリリストはリスクの軽減に役立ちますが、従業員がそれが存在することを知り、それが重要である理由を理解し、新しいツールを採用する前にそれを参照する場合にのみ有効です。

 レポートではまた、96%の組織が生成AIアプリケーションおよびその他のAIツールのセキュリティポリシーを採用しているか、開発中であることがわかりました。同じ割合が、展開されたAIおよび大規模言語モデルシステムのセキュリティをテストおよび検証する方法を確立しているか、模索しています。

 これらの調査結果は、AIガバナンスへのより広範なシフトを示しています。しかし、ガバナンスはポリシー文書、法的レビュー、または技術的管理に限定されたままではいけません。ツール、データ、コンテンツ、コミュニケーションについて日常的な意思決定を行う従業員に届く必要があります。これが、リーダーが対処しなければならない実行ギャップです。AIガバナンスは、従業員がそれを行動に移すことができる場合にのみリスクを軽減します。

行動優先のトレーニングが運用準備態勢を構築する

 AI関連のトレーニングは、年次の意識向上モジュールへの単一の更新として扱われるべきではありません。リスクはあまりにも急速に進化しており、従業員によるAIツールの使用はあまりにも急速に拡大しています。組織には、実際の業務に結びついた実用的で頻繁なトレーニングが必要です。

 レポートは、多くの組織がAI関連のリスク管理の初期段階にあることを指摘しています。たとえば、従業員のAI使用を監視するツールを持っていると報告した回答者はわずか42%です。これにより、従業員のサイバーセキュリティトレーニングがさらに重要になります。技術的な可視性が不完全な場合、従業員はリスクの高い状況を認識し、適切に対応するための明確なガイダンスが必要です。

 行動優先のトレーニングは、従業員が実際に直面する意思決定を中心に据えるべきです。これには、AI強化フィッシングの識別、異常なリクエストの検証、機密情報の保護、承認されたAIツールの使用、AI生成コンテンツの評価、疑わしい活動の報告が含まれます。短いシナリオ駆動型のモジュールは、従業員を圧倒することなく、ポリシーの文言を実際の意思決定に結びつけるのに役立ちます。

 AIフィッシングを認識するための定期的で短いトレーニングセッションは、広範な年次概要よりも効果的です。承認されたAIツールに関する短い最新情報は、従業員がいつガイダンスを求めるべきかを明確にすることができます。シナリオ駆動型のモジュールは、AIツールが関与する場合に、お客様情報、独自データ、コード、契約、規制対象コンテンツ、またはその他の機密資料をどのように扱うかを従業員が理解するのに役立ちます。

 このアプローチは、定着率も向上させます。従業員は、トレーニングが具体的で、タイムリーで、日常の責任に関連している場合、それを記憶し、適用する可能性が高くなります。財務担当の従業員は、請求書詐欺や経営幹部のなりすましに関するトレーニングが必要な場合があります。開発者は、AI支援コーディングとコードレビューに関するガイダンスが必要な場合があります。営業担当の従業員は、お客様データ、会議の要約、CRMコンテンツに関する例が必要な場合があります。サポートエンジニアは、AIがどこで役立つか、また機密ログや設定の詳細がどこで特別な注意を必要とするかを理解する必要がある場合があります。トレーニングが実際の行動をより忠実に反映するほど、それはより有用になります。

労働力のレジリエンスには知識だけでなく判断力が必要

 セキュリティ意識は常に、人々がリスクを認識することに依存してきました。AIは、リスクを見つけにくくし、あまりにも迅速に行動しやすくするため、ハードルを上げます。

 それは従業員が弱点であることを意味するものではありません。それは従業員がしばしば意思決定のポイントであることを意味します。彼らは、クリックするか、報告するか、検証するか、共有するか、承認するか、ダウンロードするか、要約するか、貼り付けるか、信頼するかを決定します。AI対応の職場では、攻撃者がより速く動き、メッセージがより信頼できるように見え、ツールが生産性と露出の境界線を曖昧にする可能性があるため、これらの決定はより重要になります。

 最も強力なセキュリティ意識向上プログラムは、従業員がプレッシャーの下でも持ちこたえる習慣を構築するのに役立ちます。ユーザーに対して、行動する前に一時停止し、信頼する前に検証し、共有する前にデータを保護し、インシデントがエスカレートする前に懸念事項を報告するよう教育します。また、サイバーセキュリティを、独立した準拠規格の演習ではなく、日常業務の一部として感じられるようにします。

 そこで、意識が回復力へと変わります。AIは、人間の判断の必要性を減らすものではありません。従業員が自分の判断が最も重要となる場所を知る必要性を高めます。AI生成コンテンツがより説得力を増し、AIツールが日常のワークフローにより深く組み込まれるにつれて、組織は従業員がより安全な意思決定を一貫して行えるようにするトレーニングプログラムを必要としています。

フォーティネットのトレーニングでAI対応の労働力の回復力を構築

 AIガバナンスは、従業員が日常業務でポリシーを適用する方法を理解している場合にのみ、リスクを軽減します。組織は承認されたAIツール、データ処理プロトコル、セキュリティ対策を実装できますが、これらは従業員が一貫して安全な選択を行う場合にのみ効果的です。

 フォーティネット セキュリティ意識向上およびトレーニング(FortiSAT)は、組織がAIガバナンスを実行可能な労働力の行動に変換するのを支援します。従業員は、攻撃者がフィッシング、なりすまし、ソーシャルエンジニアリングにAIをどのように使用するかを学び、また、AIツールを安全に使用し、機密データを保護し、異常なリクエストを検証し、疑わしい活動を報告するスキルを習得します。

 役割ベースのトレーニングと実際のシナリオを組み合わせることで、組織は従業員間の安全な行動を強化し、AI関連のリスクを最小限に抑え、責任あるAI使用を促進できます。この戦略は、より回復力のある労働力を育成し、組織が強力なセキュリティ対策を維持しながらAIの利点を活用できるようにします。

 フォーティネットのセキュリティ意識向上およびトレーニングプログラムをご覧いただき、完全版の2025年セキュリティ意識向上およびトレーニング グローバル調査レポートをお読みいただき、組織が従業員に今日の脅威を認識し、AIツールを責任を持って使用し、リスクが進化し続ける中でより安全な意思決定を行えるようにする方法をご確認ください。

■関連サイト

本記事はアフィリエイトプログラムによる収益を得ている場合があります