セキュリティ基礎トラックの考え方

この教材の要約

共通基礎トラックの目的を、全職種が安全に仕事を始めるための行動教育として整理します。

概念図

共通基礎トラック
├─ 事故予防
│  └─ 誤送信、誤共有、紛失、フィッシングを減らす
├─ 行動定着
│  └─ 送る前、共有する前、入力する前に止まる
├─ 初動徹底
│  └─ 疑い段階で隠さず報告する
└─ 理解確認
   ├─ ケース集
   ├─ 確認テスト
   └─ セルフチェック

はじめに

セキュリティ基礎トラックは、専門家を育てるためのものではありません。
最初に目指すべきなのは、業務で事故を起こしにくい行動を身につけることです。¹

メール、クラウド、チャット、生成AI、モバイル端末のような業務手段は便利ですが、同時に誤送信、誤共有、機密入力、フィッシング誤クリック、端末紛失といった事故の入口にもなります。
この研修は、そうした日常行動に対して、全職種共通の基準を早期にそろえるためのものです。²

IPA の「情報セキュリティ10大脅威 2026」でも、組織向け脅威として「AIの利用をめぐるサイバーリスク」「リモートワーク等の環境や仕組みを狙った攻撃」「ビジネスメール詐欺」などが挙がっており、日常業務に近い行動を早い段階で整える重要性は高まっています。²

なぜ全職種共通で扱うのか

実務で情報を扱う人の役割は、営業、企画、管理、事務、技術などさまざまです。
ただし、どの職種でも最初に触れるものは共通しています。

• メール
• クラウドストレージ
• 社内チャット
• 端末
• 顧客情報や社内資料

ここで起きる事故の多くは、高度な攻撃だけで生まれるわけではありません。
誤送信、誤共有、置き忘れ、のぞき見、うっかり投稿のように、日常業務の延長で起きる失敗が大半です。²

だからこそ、職種別教育の前に、全員でそろえるべき最低限の安全行動を先に固める必要があります。

この研修が目指す3つの目的

事故予防としての目的

まず必要なのは、事故を未然に防ぐことです。
「何が危ないか」を知らないまま業務に入ると、本人に悪意がなくても組織に大きな影響を与えます。

この研修では、誤送信、誤共有、フィッシング、紛失、生成AIの誤利用など、実務で最初につまずきやすい場面を中心に扱います。

行動定着としての目的

知識だけでは事故は減りません。
実務で必要なのは、「送る前に宛先を確認する」「離席前にロックする」「公開範囲を見直す」のような、短くて具体的な行動です。

この研修は、用語説明だけで終わらせず、日常行動へ落ちる形で理解させることを目的にします。¹

初動徹底としての目的

事故は、ゼロにはできません。
そのため、起きたかもしれないときに、隠さず、止めず、迷わず報告できることが重要です。³

この研修では、事故を起こさない教育だけでなく、起きたかもしれないときの最初の動きまでを必修に含めます。

この研修で到達したい状態

到達目標	具体的にできること
基本概念を説明できる	情報資産、機密性、完全性、可用性を自分の言葉で説明できる
身近な脅威を自分ごと化できる	誤送信、誤共有、フィッシング、紛失を「自分にも起こりうる」と理解できる
ルール違反を見分けられる	やってよいことと、確認が必要なことを区別できる
主要な業務手段の注意点を理解している	メール、クラウド共有、生成AI、SNS、端末利用の注意点を説明できる
異常時の動きを理解している	報告、証拠保全、自己判断でやってはいけない行動を把握している

ここでの到達点は、専門的な設定変更や高度な分析ができることではありません。
安全に仕事を始めるための共通基盤ができていることが目標です。

5つの学習ブロック

セキュリティ基礎トラックは、次の5ブロックで組みます。⁴

ブロック	主な内容	狙い
1. 基本理解	情報資産、なぜ守るか、事故の影響	守る対象と理由を理解する
2. 事故パターン	誤送信、誤共有、フィッシング、紛失、生成AI誤利用	自分が起こしやすい事故を知る
3. 日常ルール	認証情報、メール、共有、紙、画面、会話、移動中の注意	日常業務の安全行動を定着させる
4. 初動	何を止めるか、誰に報告するか、何を残すか	異常時の動きを迷わない状態にする
5. 理解確認	ケース、確認テスト、セルフチェック	理解の抜けを見つけて補強する

この順序にしているのは、いきなり禁止事項だけを並べるより、なぜ守るのかから入った方が、行動につながりやすいためです。

この研修で繰り返し伝える原則

セキュリティ基礎トラックでは、細かなルールより先に、次の原則を何度も繰り返します。

• 情報は必要な範囲だけ扱う
• 送る前、共有する前、入力する前に一度止まる
• 迷う論点は自己判断せず、自社ルールを確認する
• 異常を隠さない

特に、生成AI、USB、私物端末、クラウド共有、ソースコードの扱いは、会社により許可範囲が異なります。
本トラックでは一般的な注意点は扱いますが、最終判断は必ず自社のルールで確認する前提にします。

この研修が扱うものと扱わないもの

セキュリティ基礎トラックが扱うもの

• 日常業務で起きやすい事故パターン
• 共通して必要な安全行動
• 異常時の報告と初動
• 業務手段ごとの基本的な注意点

セキュリティ基礎トラックが扱わないもの

• セキュア実装の詳細
• 脆弱性の再現手順や修正技術
• ログ分析や監視運用の実務
• SOC、CSIRT、インフラ防御の専門運用

これらは、セキュリティ技術入門トラックで別に扱います。
研修対象を広く取るほど、まず何をそろえるべきかを絞ることが重要です。

次に読む

• 情報資産とセキュリティの基本
• セキュリティ技術入門トラックの考え方

関連トピック

関係	教材	使い方
前提	セキュリティ基礎シリーズの全体像	シリーズ全体の中で共通基礎の位置づけを確認する
次に読む	情報資産とセキュリティの基本	守る対象と基本概念へ進む
到達確認	確認したいセキュリティ行動チェックリスト	共通基礎が行動として残っているか確認する

参考資料（出典）

Footnotes

1. CISA, Cross-Sector Cybersecurity Performance Goals。全員向けの基礎訓練、アカウント保護、報告体制を含む、優先度の高い基本対策を整理。https://www.cisa.gov/cybersecurity-performance-goals ↩ ↩²

2. IPA, 情報セキュリティ10大脅威 2026。AI 利用リスク、ビジネスメール詐欺、リモートワーク環境を狙う攻撃など、現在の主要脅威を整理。https://www.ipa.go.jp/security/10threats/10threats2026.html ↩ ↩² ↩³

3. NIST, SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management。疑い段階からの報告、対応、復旧の流れを整理。https://csrc.nist.gov/pubs/sp/800/61/r3/final ↩

4. NIST, Cybersecurity Framework (CSF) 2.0。Govern, Identify, Protect, Detect, Respond, Recover の全体像を示し、基礎教育の対象を整理する際の土台になる。https://www.nist.gov/cyberframework ↩