セキュリティチームのばーちゃんです!
本ブログでは、弊社が取り扱いを始めたセキュリオの紹介はもちろん、セキュリオが必要とされている背景にも触れていきます。
3行まとめ
- セキュリオはセキュリティ教育に特化したクラウドサービス
- 標的型攻撃メール訓練ができ、引っかかったユーザーにeラーニングを自動配信できる
- 忙しいユーザーでも数分で取り組める、セキュリティアウェアネス機能がある
関連ページや関連動画はこちらから
「取扱製品ページ」に掲載いたしました
早速、複数のお問い合わせをいただいております、ありがとうございます。
取扱製品ページの右下、あどみんちゃんをクリックしてお問い合わせくださいませ!
https://cloudnative.co.jp/product/securio
「セキュリオ VS 須藤あどみん 対談」動画もお見逃しなく
セキュリオをテーマにした対談動画もございます。
動画の中ではデモ画面も確認できますので、ぜひご覧ください!
https://www.youtube.com/watch?v=m01FfJo55nM
セキュリオとは?
セキュリオは、セキュリティ教育に特化したクラウドサービスで、効率的な企業の教育を支援します。教育コンテンツによる従業員のセキュリティ知識・意識の向上はもちろん、標的型攻撃メール訓練などの実践的な機能も提供しています。
なぜセキュリオを提案しているのか?
セキュリオを提案している理由は、従業員教育の必要性が年々高まっている、と考えているからです。
セキュリティ製品の導入は企業のセキュリティレベルを向上させますが、実際にそれらを使うのはユーザー(従業員)です。そのため、従業員へ直接アプローチし、従業員の知識や意識を向上させていきたい、人的な面での強化を図りたいと考えています。この考え方が、今回のセキュリオ取り扱いの根底にあります。
実際に、IPAの「情報セキュリティ10大脅威2025」にはヒトを狙った攻撃が多数ランクインしており、ヒト(従業員)に対する教育の必要性を感じます。
参照:情報セキュリティ10大脅威2025(独立行政法人 情報処理推進機構)アクセス日:2025/04/08
悪意のある第三者からの攻撃や、従業員による内部不正を防ぐことはもちろんのこと、悪意が無いにも関わらず、知らず知らずのうちに犯行に加担するリスクを減らしたり、普段と違うメールに気づき担当者に報告する意識を高めたりするだけでも、被害を防ぐ確率は高まるでしょう。
こうした仕組みや教育を提供するのは、自組織を守るためにも、必要不可欠な取り組みとなりつつあります。
なぜセキュリオなのか?
市場には多くのeラーニング製品やLearning Management System(LMS)が存在しますが、その中でなぜセキュリオなのでしょうか?
私が実感したセキュリオの特長を以下に紹介します。
セキュリティに特化している
市場には多くのeラーニング製品が存在する一方で、セキュリティに特化した製品は少ないと感じています。そこでクラウドネイティブは、セキュリティ教育に特化したクラウドサービス「セキュリオ」の取り扱いを開始しました。
訓練ができる
学習による知識の習得と、実体験による知識(経験)の定着には大きな差があると考えています。
多くの企業や個人がeラーニングやLearning Management System(LMS)を利用して教育を行っています。しかし、座学だけの知識は記憶に残りにくく、時間とともに形骸化しやすい傾向があると考えています。と言っても、組織への攻撃や内部不正は頻繁には起こらず、起きてほしくもないため、実践的な経験を積むことは難しい状況です。
そこでセキュリオには、「訓練」という形で従業員に実践的な体験をしてもらう機能が盛り込まれています。現在は標的型攻撃メール訓練を利用することができ、主に以下のような機能があります。
20以上(2025/04時点)のサンプルテンプレートを選んで簡単に訓練メールを配信することも出来ますし、テンプレートをもとに、社内の実情に沿ったメール件名やメール本文のカスタマイズも可能です。
また、カスタムドメインの利用が可能で、30以上(2025/04時点)のカスタムドメインがデフォルトで登録されています。管理者は、訓練メールで利用するドメインをデフォルトのものから選ぶこともできますし、自社で利用したいドメインがあれば、そのドメインをセキュリオに登録して利用することもできます。
訓練メール本文のリンクをクリックして表示される画面も工夫されており、従業員がドキッとする仕掛けになっています。
このように、セキュリオはセキュリティに特化した教育クラウドとして、単なる知識の提供だけでなく、受講者が実際のシナリオで訓練できる点が、従来のLMS(Learning Management System)とは一線を画していると考えています。
訓練とeラーニングを組み合わせられる
セキュリオの標的型攻撃メール訓練の良さは前述した通りなのですが、eラーニングと組み合わせることも可能です。
具体的には、標的型攻撃メール訓練に引っかかった従業員に対して、eラーニングのレッスンを自動配信する機能を備えています。これにより、適切なタイミングで必要な従業員に最適な学習コンテンツを提供できます。
現在は標的型攻撃メール訓練とeラーニングの組み合わせだけとなっていますが、管理者は個別に対象者を確認して教材を配信する手間が省けるため、管理者にとって非常にありがたい機能です。
従業員にとっても「引っかかったからeラーニングする」ことは、動機付けの意味でも、タイミングの面でも、ぴったりだと思います。
セキュリティアウェアネス機能がある
セキュリティアウェアネス機能も、私が特におすすめしたい機能の一つです。
みなさんは、マイクロラーニング(ナノラーニング)という言葉をご存知でしょうか?
これは、セキュリティ教育の新しいアプローチとして注目を集めている言葉で、1〜5分という短時間で完結する学習を、従業員の日常業務の合間に無理なく取り組んでもらおう、というものです。従来の年1〜数回の教育では、網羅的な学習のために情報量が多くなりがちでした。また従業員にとっても、一時的な知識習得に留まり、日々の業務に追われるうちにセキュリティ知識や意識が形骸化しやすい傾向がありました。
こうした課題を解決するため、セキュリオではマイクロラーニングの考え方を「セキュリティアウェアネス」機能として実装しています。
前述のとおり、セキュリティアウェアネスは1~5分の短時間で完結するマイクロラーニングです。そのため、出退勤時や休憩前後など、日常のルーティンに容易に組み込むことができます。このようにセキュリティ教育を「特別なイベント」ではなく「日常の一部」として定着させることで、従業員のセキュリティ意識をさらに高めることが期待できます。
管理者の手間を削減してくれる
ここまで様々な機能を紹介してきましたが、製品の利用に大きな工数がかかっては管理者の負担が増えてしまいます。セキュリオは管理者の負荷を最小限に抑える工夫がされており、管理者にとっても使いやすい製品となっています。
例えば、eラーニングにはセキュリティコンサルタントの解説付きコンテンツを含む教材が90種類以上用意されており、セキュリティアウェアネスでは160問以上配信できます(どちらも2025/04時点)。また、LRM社が定期的にコンテンツを更新・追加するため、管理者がコンテンツを作成する手間も省けます。
セキュリティアウェアネスや標的型攻撃メール訓練は、定期配信設定をすることで配信作業が自動化されます。
さらに、従業員のセキュリティアウェアネス受講状況や攻撃メール報告状況が自動で集計され、グラフ表示もされるため、管理者が関数を組んだり集計作業を行ったりする必要もありません。
これらの機能により、管理者が運用管理に多くの時間を費やすことなく、計画した教育とその実施結果を容易に可視化できるのも魅力のひとつです。
これからに期待している点!
従業員のやる気を向上させる面白さ
使いやすく、訓練もでき、セキュリティアウェアネスも備えた優秀な製品なのですが、あえて1つ挙げるとすれば「面白さ」が増えたらいいな思っています。
理由は、「面倒な教育を、従業員は進んで受講してくれるのか?」とやや懐疑的な考えがあるからです。
なので、日々業務に追われる従業員の継続力を後押しする重要な要素としての「面白さ」があっても良いと考えています。
ここでいう面白さとは、単に「知らなかった」「分かった!」という類の学びの面白さではなく、報酬と罰のバランスが絶妙なゲーミフィケーションを想像しています。
ゲーミフィケーションの実装とまではいかなくとも、例えばセキュリティアウェアネスで満点を取った時の褒め言葉を増やしたり、頑張っているユーザーをセキュリオのトップページで紹介したりするだけでも、ユーザーのやる気は向上すると思います。
従業員のやる気を向上させるために、組織ができること
ただし、この期待点は組織自身の努力で補完すべきなのでは、とも考えています。
なぜなら、セキュリオに限らず、何らかの取り組みに対する従業員の継続的な活動を支援するのは、組織の役割だと考えるからです。もちろん、誰かが組織の代わりに従業員のやる気を底上げしてくれれば理想的ですが、現実的には難しい部分もあるでしょう。そこで、以下の3点を提案したいと思います。
- 例)高い参加率や優れた成績を収めたユーザーの表彰を行う仕組み
表彰制度を設けることで、社員のモチベーション向上と積極的な参加を促進できると考えます。表彰と言っても、大層な儀式にする必要はなく、一定期間ごとに成績上位者を選出し、社内会議で紹介したり、メールやSlackで社内周知するだけでも十分だと思います。
競争させるという意味では、部門対抗戦を実施し、優勝部門には何らかの特典を付与しても面白いかも知れません。例えば予算配分で優遇したり、休暇や特別報酬金などを与えるといった具合に。セキュリティインシデントで失われる資産や信頼、最悪の場合の賠償などを考えれば、安い投資ではないでしょうか。
- 例)参加率の低いユーザーへの個別フォローで形骸化を防止
組織全体としてのセキュリティ意識の向上には全社員の参加が重要です。やってもやらなくても何も変わらないのであれば、どんどん形骸化していきます。なので、早期に個別対応することで、形骸化を防ぎます。
意外と、忘れていた、知らなかっただけで、1度話をすれば以降は継続的に受講してくれることもあるかと思います。
具体的には、定期的に未受講者の上長と面談して業務の忙しさを把握し、受講日や受講時間帯の柔軟な変更をしたり、受講量を調整したりといった事が考えられると思います。最初の2,3回は画面共有しながら一緒に受講しても良いかも知れません。操作性に慣れていないと「もういいや」と離脱する可能性もありますので。
- 例)経営層によるトップダウンでの推進
最後はトップダウンの施策です。経営層が率先して取り組むことで、セキュリティ教育の重要性を組織全体に浸透させ、全社的な取り組みとして定着させることが可能だと考えます。全社会議でセキュリティ教育の重要性を定期的に発信するだけでも効果はあると思いますし、何なら経営層自らが率先して受講し、その経験を社内で共有してもいいと思います。
錦の御旗というわけではないですが、正当化、という意味では、会議での定期的な進捗報告もアリだと思います。わざわざセキュリティ教育のための会議を開催せずとも、何らかの週次定例の最初の5分にチームの受講状況を開示する。これだけでも「やらなきゃ」という一定の強制力が生まれると思います。
定着するための最初の頑張りが大切です。形骸化しないよう、あの手この手を尽くしましょう!!
おわりに
最後はセキュリオからやや話題が逸れましたが、どのような研修や教育でも、その効果を最大限に引き出すには、データの可視化に加えて、継続的な運用体制と従業員のやる気維持が不可欠です。波に乗れば容易になりますが、初期段階では試行錯誤が必要になるでしょう。管理者のみなさん、日々の業務に加えて大変だと思いますが、一緒に頑張っていきましょう!
セキュリティ教育に限らず、お困りごとありましたらいつでもご相談ください!!
