プロローグ — 人間が最も弱い環であるという30年の命題

1995年、Kevin Mitnickは自伝で「技術的侵入より電話1本のほうが速い」と書いた。30年経った2026年でも、Verizon DBIR(Data Breach Investigations Report)は侵害の約68 %が人間要素(human element)を含むと報告する。ソーシャルエンジニアリング、認証情報の窃取、単純なミスの合計だ。

変わったのは攻撃の参入コストだ。

- **2018年 — フィッシングメール1通のコスト** — 英語ネイティブが直筆。時給30-100 USD。

- **2026年 — GPT-4・Claudeによる自動生成** — メール1通0.001 USD。1万通でも10 USD。

- **音声クローン** — ElevenLabsが3分の音声サンプルでCEOの声を複製。月額22 USDのサブスク。

- **ディープフェイク動画** — HeyGen・Synthesiaが静止画からビデオ通話レベルの出力を生み出す。

2024年2月、英国のエンジニアリング企業 **Arup** の香港拠点の社員がビデオ通話で本社CFOと同僚たちに会った。全員ディープフェイクだった。2,500万ドル(約34億円)が送金された。セキュリティ業界の分水嶺だった。

本稿はその変化を正面から見据える。22の章に分けて — KnowBe4からGoPhishまで、NIST Phish Scaleから韓国・日本の模擬訓練まで — 実際のツール・実際の事件・実際のURLを一つの流れに束ねる。

1章 · なぜAIフィッシングシミュレーションが2026年の焦点なのか

GenAI登場前のフィッシングはパターンが単純だった。「Dear customer, your account has been suspended」のようなぎこちない英語。韓国語・日本語メールはもっと露骨だった — 機械翻訳の不自然さ、敬語のリズムのずれ、漢字の選択ミス。

2024年から景色が変わった。SoSafe、Egress、IRONSCALESといったセキュリティ研究団体が2024-2025年に発表したレポートは一貫して同じデータを指摘する。

- **AI生成フィッシングのクリック率** — 人が作ったおとりに対して1.5-3倍。

- **言語の正確さ** — 英語・韓国語・日本語すべてネイティブレベル。

- **個人化** — LinkedIn・FacebookのパブリックデータをGPTが要約して1対1のおとりに。

- **量と速度** — 単独の攻撃者が1日1,000通の作成も容易。

ここが核心だ。「AIが人間並みのフィッシングを書く」のではなく「1人の攻撃者が1万人を狙える」という量的変化である。だから2026年のセキュリティ意識向上は、単純な「メールに気をつけろ」キャンペーンを越え、**行動変容(behaviour change)** と **ヒューマンリスク管理(human risk management)** という新しいパラダイムに移った。

[2026年セキュリティ意識向上トレーニングの4階層]

1. シミュレーション — 偽フィッシングメール送信、クリック率測定 (KnowBe4, Hoxhunt)

2. リアルタイム学習 — クリック直後にマイクロラーニング (Hoxhunt, CybSafe)

3. 行動分析 — ハイリスク利用者のスコアリング (Living Security, Elevate)

4. 脅威インテリ — 実キャンペーンのデータでシミュレーションを更新 (Cofense, Proofpoint)

各階層は異なるツールが埋める。KnowBe4は1-2層、Hoxhuntは2-3層、Cofense・Proofpointは4層 + インシデント対応を担う。

2章 · KnowBe4 — Stu Sjouwermanと4,000万ユーザー

**KnowBe4**(knowbe4.com)は2010年にStu Sjouwermanが米フロリダ州クリアウォーターで創業した。Sunbelt Softwareを売却した後、Stuがセキュリティ意識向上トレーニング専業の会社を作った。Kevin Mitnickが2011年に共同創業者(Chief Hacking Officer)として合流(2023年7月逝去)。

- **ユーザー数** — 約6.5万社、4,000万人超のエンドユーザー(2024年時点)。

- **上場** — 2021年にNYSE上場(KNBE)。

- **再非上場化** — 2023年2月、Vista Equity Partnersが約46億USDで買収、非公開化。

- **主要製品** — KSAT(意識向上プラットフォーム)、PhishER(インシデント対応)、KCM(GRC)、SecurityCoach(リアルタイムコーチング)。

KnowBe4の強みはコンテンツライブラリだ。「The Inside Man」という自社制作のドラマシリーズをはじめ、1社が制作したとは思えない規模の動画とインタラクティブモジュールを保有する。

**価格モデル**(2026年5月時点)。

- **Silver** — 1人あたり年12-18 USD。シミュレーション + 基本トレーニング。

- **Platinum** — 1人あたり年28-40 USD。PhishER + 高度レポート込み。

- **Diamond** — 1人あたり年60+ USD。AIDA(AIベースのおとり推薦)、全モジュール。

価格は従業員数、契約期間(通常1-3年)、地域によって異なる。Vista買収後、米国外で値上げの動きが一部報告されたが、日本基準で従業員1,000人規模の企業で年300-700万円程度が相場である。

3章 · Hoxhunt — 行動科学アプローチのフィンランド企業

**Hoxhunt**(hoxhunt.com)は2016年にMika Aalto、Pyry Ahkavainen、Ari Kesäniemiがフィンランドのヘルシンキで創業した。KnowBe4より6年遅いが、別の哲学を持って登場した。

- **2024年8月シリーズB 4,000万USD** — Level Equity主導、Icebreaker.vc参加。

- **顧客企業** — Nokia、Telia、Kone、AirBaltic、Qualcommなど50カ国1,800万+ユーザー。

- **コア思想** — 行動科学に基づく適応型学習。各ユーザーのリスクプロファイルに合わせてシミュレーションの難易度・テーマ・頻度を自動調整。

Hoxhuntの差別化ポイント。

- **No Gotcha** — ユーザーがフィッシングをクリックしても恥ではなく学習機会としてフレーミング。ゲーミフィケーションのポイント制で扱う。

- **適応型難易度** — Duolingo方式。上手いユーザーには難しく、苦手なユーザーには易しく。

- **実際の不審メール報告** — Hoxhuntプラグインで不審メールを報告するとAIが自動分類。本物の脅威はSOCへ、シミュレーションはポイントへ。

Hoxhuntの効果データは印象的だ。自社発表では使用1年後に不審メール報告率が50 %台まで上昇した例がある。KnowBe4が「低いクリック率」を誇るなら、Hoxhuntは「高い報告率」を誇る — 別の行動である。

**価格** — 公開されていない。1人あたり年15-30 USD程度が市場の推定。見積もりベース。

4章 · Cofense — インシデント対応に強い会社

**Cofense**(cofense.com)は2007年にAaron HigbeeとRohyt BelaniがPhishMeという名前で創業した。2018年に社名をCofenseに変更。

- **2022年3月の売却** — Carlyle GroupとBlackRockのコンソーシアムが買収。

- **顧客** — 約35万+ユーザー、Fortune 500の50 %超。

CofenseはKnowBe4・Hoxhuntとは別の席に座る。**シミュレーション + 実脅威インテリ + SOC統合** という構造だ。

- **Cofense PhishMe** — シミュレーションプラットフォーム。

- **Cofense Reporter** — Outlook・O365・Gmailプラグイン。ワンクリックで不審メール報告。

- **Cofense Triage** — 報告メールを自動分類・優先順位付け、SOC向け。

- **Cofense Intelligence** — 実フィッシングキャンペーンの脅威インテリ。

- **Cofense Vision** — メールボックス検索・隔離(メール検索)。

Cofenseの差別化はSOCワークフローへの統合だ。ユーザーが不審メールを報告するとPhishER相当の自動分類 + 人間SOCアナリストの判断 + 自動隔離が1つの流れになる。だから1万人超の大企業に人気がある。

5章 · Proofpoint Security Awareness Training(旧Wombat)

**Proofpoint**(proofpoint.com)は2002年にEric Hahnが創業し、メールセキュリティゲートウェイから始まった。2014年に米カーネギーメロン大学発のWombat Security Technologiesが作った「ThreatSim」シミュレーションを2018年にProofpointが買収。

- **2021年4月のThoma Bravo買収** — 約124億USDで非公開化。

- **2023年11月のTessian買収** — BEC(ビジネスメール詐欺)検出専業の英国企業。

- **2024年8月のNormalyze買収** — データセキュリティポスチャ管理(DSPM)。

Proofpoint Security Awareness Trainingの強みはメールセキュリティ本体との統合だ。**TAP(Targeted Attack Protection)** が実際に防いだ脅威データがシミュレーションコンテンツに直結する。「今週うちの会社に来た本物のキャンペーン」をそのまま訓練シミュレーションにできる。

- **CLEAR**(Closed-Loop Email Analysis and Response) — ユーザー報告で自動分析・削除・隔離。

- **Phish Alarmボタン** — Outlook・Gmailプラグイン。

- **Targeted Attack Protection** — 実メールゲートウェイ。

価格は明示されていないが、1人あたり年25-50 USD程度の見積もりが市場で知られる。メールゲートウェイ + 意識向上トレーニングをまとめて買うときに魅力が増す。

6章 · Infosec IQ — Cengage傘下

**Infosec IQ**(infosecinstitute.com)は2004年にJack KoziolがInfosec Instituteとして開始した。2022年にCengage Group(教育出版)が約2.4億USDで買収し、現在Infosec Skills・Infosec IQに分離運営。

- **Infosec IQ** — セキュリティ意識向上 + フィッシングシミュレーション。

- **Infosec Skills** — IT・セキュリティ専門家の資格・技術トレーニング。

特徴。

- **PhishSim** — 自社シミュレーション。1,000+テンプレート。

- **AwareEd** — マイクロラーニングモジュール。平均3-5分の動画。

- **NIST 800-50 / 800-16 マッピング** — 米国政府・契約者フレンドリー。

Infosec IQは米国連邦・州政府の契約で強みを発揮してきた。NIST 800-50(「セキュリティ意識向上トレーニングプログラム構築」)へのマッピングが明示的で、FedRAMP・CMMC環境で採用しやすい。

7章 · Mimecast Awareness Training(旧Ataata)

**Mimecast**(mimecast.com)は2003年に英国でPeter BauerとNeil Murrayが創業した。メールセキュリティゲートウェイから始まった。2019年に米ボストン拠点のAtaataというセキュリティ意識向上スタートアップを買収し **Mimecast Awareness Training** として統合。

- **2022年5月** — Permiraが約58億USDで非公開化。

特徴。

- **風刺コメディコンテンツ** — 短くて面白い動画。伝統的な「セキュリティは真面目であるべき」雰囲気を打破。

- **Mimecast Awareness Risk Score** — ユーザー別リスクグレード。

- **メールゲートウェイ統合** — Mimecast Email Securityと1プラットフォーム。

旧Ataata時代のトーンがそのまま残っている。「Tom & Jerry」的なスラップスティック保安動画は好みが分かれるが、従業員エンゲージメントが高いというデータがある。

8章 · Sophos Phish Threat — EDRと1パッケージ

**Sophos**(sophos.com)は1985年に英オックスフォードでJan HruskaとPeter Lammerが創業した。アンチウイルス → EDR → MDR(Managed Detection and Response)へ拡張。

- **2020年3月** — Thoma Bravoが約39億USDで非公開化。

- **2023年後半** — ReliaQuestへ事業の一部を売却。

**Sophos Phish Threat** はSophos Centralコンソールに統合されたシミュレーションモジュール。

- **簡易セットアップ** — Sophos Central利用者なら追加ツールのインストールなしで有効化可能。

- **500+テンプレート** — 英語・ドイツ語・フランス語・日本語・一部韓国語。

- **EDR統合** — ユーザーがシミュレーションをクリックするとSophos EDRコンソールに記録。

価格は1人あたり年5-12 USDとKnowBe4の半額以下。代わりにコンテンツライブラリ・高度分析は弱い。**「すでにEDRを使っている中堅企業」** に良いオプション。

9章 · NINJIO — ストーリーテリングの一人芝居

**NINJIO**(ninjio.com)は2015年にZack Schulerが米カリフォルニアで創業した。他社が「教育的な動画」を作るとき、NINJIOは「Netflix級ミニシリーズ」を作った。

- **エピソード尺** — 3-4分。週1本、年52本。

- **実事件ベース** — Equifax漏洩、Twitter Bitcoin詐欺(2020)、Colonial Pipeline(2021)などの実事件をドラマ化。

- **ハリウッド作家** — エピソード脚本を映画・テレビの作家が執筆。

NINJIOはセキュリティ訓練市場の「プレミアムコンテンツブランド」。価格は他社より高いがコンテンツ品質で差別化。2022年までにESPN、Pfizer、Dollar Treeなど大型顧客を確保した。

ただしインタラクティブシミュレーションは弱い。動画コンテンツ中心なのでKnowBe4・Hoxhuntと束ねて使う事例が多い。

10章 · CybSafe · Living Security · Elevate — ヒューマンリスク管理(HRM)

**CybSafe**(cybsafe.com)は2015年に英ロンドンでOz Alashe(元英国軍人)が創業した。「セキュリティ意識」を「セキュリティ行動」へ変えるという明確な立場。

- **SebDB**(Security Behavior Database) — 70+のセキュリティ行動分類体系。公開資料。

- **データ駆動アプローチ** — クリック率だけでなくパスワード使い回し、データ分類、バックアップ習慣など多層測定。

**Living Security**(livingsecurity.com)は2017年に米テキサスで創業した。**Unify** というヒューマンリスク管理(HRM)プラットフォーム。

- **リスク統合** — シミュレーションクリック、EDRアラーム、IAM権限、DLP違反を1つのダッシュボードに。

- **顧客** — Mastercard、Verizon、AT&Tなど。

**Elevate Security**(elevatesecurity.com)は2017年にRobert Fly(元Salesforceセキュリティ責任者)が創業した。2024年にMimecastが買収。

HRM(Human Risk Management)カテゴリは2023-2024年に市場が形成された新規カテゴリで、Gartnerが2024 Magic Quadrantで初めて正式認定した。

11章 · AwareGO · MetaCompliance · Phriendly Phishing · Curricula

小規模ながら意味のあるツールたち。

- **AwareGO**(awarego.com) — アイスランド。60-90秒の短い動画中心。「マイクロラーニング」推し。

- **MetaCompliance**(metacompliance.com) — 英ベルファスト。GDPR・ISO 27001コンプライアンスモジュールに強み。2024年Marlin Equity Partnersが投資。

- **Phriendly Phishing**(phriendlyphishing.com) — オーストラリア。APAC市場の強者。Hoxhuntに似た適応型アプローチ。

- **Curricula**(curricula.com) — 米国。漫画キャラクター「Joe the Hacker」シリーズで人気。2022年にCrowdStrikeが買収、**CrowdStrike Falcon Awareness** にリブランド。

- **Inspired eLearning**(inspiredelearning.com) — 米テキサス。Trustwave傘下だったが2022年に分社。

- **Click Armor**(clickarmor.ca) — カナダ。ゲーミフィケーション強調。

- **Habitu8**(habitu8.com) — 米国。短い動画シリーズ。

- **Terranova Security**(terranovasecurity.com) — カナダ・ケベック。2022年Fortra(旧HelpSystems)が買収。

これらは地域・業界・コンテンツトーンで差別化する。大型多国籍企業はKnowBe4・Proofpointを、中堅企業はSophos・Mimecastを、特定業界/地域はNINJIO・MetaCompliance・Phriendlyを選ぶパターンが一般的。

12章 · GoPhish — オープンソース・フィッシングシミュレーションの標準

**GoPhish**(getgophish.com)は2015年にJordan Wrightが作ったオープンソースのフィッシングシミュレーションフレームワーク。Go言語で書かれ、MITライセンス。

- **GitHub** — github.com/gophish/gophish、約10,000+スター。

- **機能** — キャンペーン作成、メールテンプレート、ランディングページ、結果ダッシュボード。

- **セルフホスト** — シングルバイナリ。30分でインストール+初キャンペーン。

GoPhishの価値は **模擬侵入テスト(red team)** と **小規模組織の自社訓練** にある。KnowBe4ライセンスに数億円かかると負担に感じる100人未満の会社が、GoPhish+自作コンテンツで十分な訓練を構築できる。

GoPhish インストール(簡易版)

wget https://github.com/gophish/gophish/releases/download/v0.12.1/gophish-v0.12.1-linux-64bit.zip

unzip gophish-v0.12.1-linux-64bit.zip

cd gophish

./gophish

https://localhost:3333/ にアクセス

他のオープンソースツール。

- **King Phisher**(deprecated) — Rapid7のSpencer McIntyreが作ったが2022年に開発停止。

- **Evilginx2**(github.com/kgretzky/evilginx2) — Kuba Gretzky。進化したMITMフィッシング(2FAバイパス)。red teamツールとして分類、一般訓練には不使用。

- **SET(Social-Engineer Toolkit)** — David Kennedyの作品、Kali Linux標準収録。

- **Modlishka**(github.com/drk1wi/Modlishka) — ポーランドのPiotr Duszyński。Evilginxに類似。

Evilginx2・Modlishkaは **合法的な侵入テストまたはセキュリティ研究** にのみ使うべきだ。実際のユーザー認証情報をキャプチャできるため法的責任が伴う。

13章 · NIST Phish Scale — 客観的難易度測定

米NIST(国立標準技術研究所)が2020年に公開した **NIST Phish Scale** は、フィッシングメールの客観的難易度を測るフレームワークだ。

- **手がかり(Cue)カウント** — メール内で疑える手がかり(ぎこちない挨拶、ドメイン不一致、URL改ざんなど)の個数と強度。

- **文脈整合性** — メールが受信者の実業務文脈とどれだけ整合するか。

- **難易度等級** — Least Difficult / Moderately Difficult / Most Difficult。

NIST Phish Scaleは **クリック率比較を意味のあるものにする** 。KnowBe4が「弊社のクリック率5 %」と報告するとき、そのメールがNIST基準でLeast Difficultなら5 %はひどい結果だ。逆にMost Difficultなら優秀な結果である。

2024-2025年に多くの企業が自社KPIにNIST Phish Scaleを導入した。単純なクリック率を越え「難易度補正クリック率」を測る。

14章 · 実事件 — MGM · Caesars · Twilio · Lapsus$

理論より実事例が訓練の価値を物語る。直近5年の主要なヒューマン要素事件たち。

- **MGM Resorts**(2023年9月) — Scattered Spider(ALPHV/BlackCat提携)がITヘルプデスクに電話し、従業員認証情報の初期化を依頼。通信麻痺、ホテル・カジノシステム停止。損害推定1億USD+。

- **Caesars Entertainment**(2023年8月) — 同じグループ。報道によると約1,500万USDの身代金支払い。

- **Twilio**(2022年8月) — 従業員へのSMSフィッシング(スミッシング)。Okta認証情報が漏洩。後続攻撃でCloudflare、Cisco、Mailchimpなど100+社に波及。

- **Cisco**(2022年8月) — 従業員の個人Googleアカウント認証情報 → MFA爆撃 + 音声ビッシングでMFAバイパス。社内ネットワーク侵入。

- **Uber**(2022年9月) — 18歳の攻撃者がMFA爆撃 + Slack認証情報の窃取で社内システムに広範囲アクセス。

- **Lapsus$ グループ**(2022年1-3月) — Microsoft、Nvidia、Samsung、Okta、Vodafone、T-Mobileなどへの侵害。ビッシング・SIMスワップ・内部者買収が主な手法。

- **Arup**(2024年2月) — 英国エンジニアリング企業。CFO + 同僚多数のビデオ通話ディープフェイク。香港社員が2,500万USDを送金。

- **Coinbase**(2025年5月) — 内部社員・契約者の買収 + ソーシャルエンジニアリングで一部顧客データ漏洩。約4億USDの損害推定。

- **Change Healthcare(UnitedHealth)**(2024年2月) — ALPHVランサムウェア。MFAのないCitrix認証情報の漏洩が起点。米医療システムが広範囲麻痺。

- **Marks & Spencer**(2025年4月) — Scattered Spider。英国小売業が麻痺。

共通点 — **人間が最初の侵入点** 、**MFAバイパス** 、 **ヘルプデスク・IT担当者が標的** 。2026年のセキュリティ意識向上は一般従業員だけでなくIT/SOC運用者・ヘルプデスク担当を別トラックで訓練する流れにある。

15章 · ディープフェイク音声・動画シミュレーション

Arup事件以降、ビッシング + ディープフェイク動画シミュレーションが急速に市場へ参入した。

- **KnowBe4 Smishing & Vishing** — SMS・音声シミュレーション。AI音声生成でCEO/CFOペルソナをシミュレート。

- **Cofense Voice** — ビッシングキャンペーンモジュール。

- **Hoxhunt** — 2024年にビッシングシミュレーションのベータ。

- **Pindrop Security** — コールセンターでのビッシング検出(シミュレーションでなくリアルタイム検出)。

- **DeepMedia** — 政府・企業向けディープフェイク検出SaaS。

- **Reality Defender** — ディープフェイク検出。通話・画像・動画すべてを分析。

**シミュレーション倫理** — 偽のCEOビデオ通話で送金を要求するシミュレーションは倫理的なグレーゾーンだ。一部企業はこの種のシミュレーション自体を禁止する(社員信頼の毀損、心理的衝撃)。他社は事前同意 + 明確なデブリーフを条件に導入。

ほとんどのセキュリティコンサル会社は **高リスクの役員・財務部門** に限ってビッシング・ディープフェイクシミュレーションを行う。

16章 · MFA爆撃 · プッシュ通知疲労攻撃

**MFA爆撃(MFA bombing / push notification fatigue attack)** は2022年から急増した攻撃パターンだ。

- **攻撃シナリオ** — 攻撃者が窃取した認証情報でログイン → MFAプッシュ通知がユーザーの携帯に表示 → 真夜中に数十回連続通知 → 苛立ったユーザーが「Approve」を押す。

- **標的** — Uber(2022)、Cisco(2022)、Microsoft(Lapsus$ 2022)など。

- **防御 — ナンバーマッチング** — Microsoft Authenticator、Okta Verify、Duoが2022-2023年に導入。プッシュだけでなく画面に表示された数字を携帯に入力させる。

- **防御 — Passkeys / FIDO2ハードウェアトークン** — Yubico YubiKey、Google Titan Security Key。フィッシング耐性(phishing-resistant)。ドメインバインディングで偽サイト認証は不可能。

2024-2025年にNIST SP 800-63第4版の公式ガイダンス: **プッシュ通知 + パスワード** の組み合わせを段階的に **FIDO2 / Passkey** へ置き換える。韓国KISAも同方向を勧告。

セキュリティ意識向上の観点で、従業員に「自分が起こしたログインでなければ絶対に承認しない」というメッセージを反復して届けるのが重要。KnowBe4・Hoxhuntともに2023-2024年にMFA爆撃シミュレーションモジュールを追加した。

17章 · メールセキュリティ補助ツール — Abnormal · IRONSCALES · Material · Tessian

フィッシングシミュレーションと1パッケージで束ねられるメールセキュリティツール。

- **Abnormal Security**(abnormalsecurity.com) — 2018年にEvan Reiserが創業。BEC検出専業。AI行動モデリングが核となる。2023年後半シリーズD後の評価約50億USD。

- **IRONSCALES**(ironscales.com) — 2014年イスラエル。自動対応(Auto-remediation)強調。SOC負荷低減。

- **Material Security**(material.security) — 2017年米国。メールボックス隔離 + データ分類。Andreessen Horowitzが出資。

- **Tessian**(tessian.com) — 2013年英国。2023年11月にProofpointが買収。BEC + 内部脅威検出。

- **Avanan**(avanan.com) — 2014年イスラエル。2021年Check Point Softwareが買収。M365・Google Workspace APIベース。

- **INKY**(inky.com) — 米国。コンピュータービジョンで偽ブランドロゴを検出。

- **Slashnext**(slashnext.com) — URL・メッセージ保護。2023年にZeroFoxが買収。

これらは既存メールゲートウェイ(Microsoft Defender for Office 365、Proofpoint TAP)を補完する **APIベースソリューション** だ。メールがゲートウェイを通過した後もメールボックスで再検査する。

18章 · フィッシング耐性認証 — Passkey · FIDO2 · WebAuthn

訓練だけでは限界がある。技術的制御の併用が必要だ。

- **FIDO2 / WebAuthn** — W3C標準。2019年に正式化。ドメインバインディングでフィッシングサイトでは絶対に認証されない。

- **ハードウェアキー** — Yubico YubiKey、Google Titan Security Key、Feitian K9など。USB-A / USB-C / NFC。

- **Passkeys** — 2022年にApple・Google・Microsoftが共同発表。デバイス同期可能なFIDO2。iCloud Keychain、Google Password Managerに保存。

- **プラットフォーム認証器** — Windows Hello、macOS Touch ID、Android Biometric。

2024-2025年の大きな採用例 — Microsoft Authenticator Passkeys、Apple Passkeys、1Password Passkeys、Bitwarden Passkeys。韓国はKakao・Naverが部分的にPasskey導入。日本は楽天・ドコモ・PayPayが順次対応。

**セキュリティ意識向上の新メッセージ** — 「パスワード強化」ではなく「パスワードをなくそう」。MFAもSMS/プッシュは段階的に廃止し、FIDO2/Passkeyへ移行。

ただし導入の壁がある。デバイス紛失時のリカバリ、ゲストアカウント、レガシーシステム対応が難しい。だから一気にではなく段階的移行になる。

19章 · コンプライアンス — NIS2 · PCI DSS 4.0 · ISO 27001:2022

規制面で2024-2026年に大きな変化があった。

- **EU NIS2 Directive** — 2023年1月発効、2024年10月加盟国の国内法転換期限。重要インフラ運営者に定期セキュリティ意識向上トレーニングを義務化。

- **PCI DSS 4.0** — 2024年4月から義務化。クレジットカード処理企業に従業員セキュリティ意識向上トレーニング + シミュレーションを義務化。12.6項。

- **ISO 27001:2022** — 附属書A.6.3(awareness, education, training)を強化。

- **HIPAA**(米医療) — リスク評価 + 意識向上トレーニングが必須。2024年後半にOCRガイドライン強化。

- **GDPR**(EU個人データ) — 直接の明記ではないが、第32条(セキュリティ措置)に意識向上トレーニングが事実上含まれる。

- **K-PIPA + ISMS-P**(韓国個人情報保護法 + 情報セキュリティマネジメントシステム) — KISA認証基準にセキュリティ意識向上トレーニングが明記。

- **APPI**(日本個人情報保護法) — 2022年4月改正案で従業員教育を強調。

- **CCPA / CPRA**(カリフォルニア) — 従業員意識向上トレーニングを推奨。

これらの規制は単に「訓練をやる」のではなく **「訓練を測定して改善する」** ことを要求する。だからシミュレーション + レポート + 改善サイクルがコンプライアンスフレンドリーだ。

20章 · 韓国のセキュリティ意識向上トレーニング

韓国市場の主要ツール・機関。

- **이스트시큐리티(ESTsecurity)** — Alyacアンチウイルス(V3の競合)。模擬訓練コンサルティングサービス。

- **AhnLab** — V3・Safe Transaction。企業向けセキュリティ意識向上の別モジュール。

- **시큐어아이**, **시큐브**, **NSHC** — 模擬訓練コンサル各社。

- **KISA(韓国インターネット振興院)** — 毎年サイバーセキュリティ模擬訓練を実施。無償または低費用で中小企業も参加可能。

- **金融保安院(FSI)** — 金融機関向け模擬訓練専門。年2回の定例。

- **国家情報院・国防部** — 公共機関・軍向けの別途訓練。

[韓国の模擬訓練スケジュール - 代表例]

KISA サイバー危機対応模擬訓練 - 毎年7-8月、一般企業の自由参加

金融保安院 模擬訓練 - 毎年2回、金融機関必須

国防部 サイバー安全訓練 - 軍・防衛産業

公共機関 自社訓練 - 各機関年1-2回

韓国市場の特性 — コンプライアンス中心。ISMS-P認証・金融監督院検査・個人情報保護委員会調査に対応するための「証憑用訓練」が多い。KnowBe4・Proofpointなど外国製ツールを導入する大企業と、国内SI企業が作った自社訓練システムを使う中堅企業に二分される。

21章 · 日本のセキュリティ意識向上トレーニング

日本市場は韓国に似つつ違う。

- **NRI Secure**(nri-secure.co.jp) — 野村総合研究所傘下。標的型攻撃メール訓練の市場リーダー。

- **TrendMicro Japan** — 全世界のトレンドマイクロの東京本社。Trend Micro Phish Insightシミュレーションツール。

- **GMOサイバーセキュリティ by IERAE**(gmo-cybersecurity.com) — IERAE Securityを買収。侵入テストとシミュレーションを併せて提供。

- **NTT Communications WideAngle** — NTTグループMSS。意識向上トレーニングも含む。

- **LRM**(lrm.jp) — 日本国産のセキュリティ意識向上トレーニングSaaS。コミカルな動画コンテンツ。

- **Hitachi Solutions 標的型攻撃メール訓練サービス** — 日立グループ。

- **NEC 標的型メール訓練** — NEC。

- **富士通**, **SoftBank Technology** — SI結合型。

日本は特に **「標的型攻撃メール訓練」** という表現を使う。APT(高度持続的脅威)グループの標的攻撃への備え。日本政府・防衛省関連企業・基幹インフラが中国・北朝鮮APTの標的だという認識が深い。

規制面では **改正個人情報保護法**(2022年4月) + **NISC**(内閣官房サイバーセキュリティセンター)ガイドラインが意識向上トレーニングを明示。

22章 · セキュリティ意識向上の次のステップ — 行動変容とAI

2026年セキュリティ意識向上トレーニングの未来は3つの軌道だ。

- **AIおとり自動生成** — KnowBe4 AIDA、Hoxhunt AI Spear-Phishing Module。GPT-4・Claudeが企業サイト・LinkedInを読み1対1のおとりを生成する。

- **リアルタイム行動コーチング** — KnowBe4 SecurityCoach、Material Security Coach。従業員が疑わしい行動(外部メール返信、不審URLクリック)をした瞬間にポップアップコーチング。

- **ヒューマンリスクスコアリング + IAM統合** — Living Security、CybSafe。ハイリスクユーザーにはより厳しいMFA、データアクセス制限。

学術研究も活発だ。

- **Carnegie Mellon CyLab** — セキュリティ行動モデリング。

- **Stanford SAIL** — LLMによるソーシャルエンジニアリング研究。

- **Oxford Cyber Defence** — 政府・国防のサイバー訓練。

- **KAIST · POSTECH サイバーセキュリティ研究センター** — 韓国アカデミア。

- **東京大学 · NICT(情報通信研究機構)** — 日本。

**根本的限界** — 人間を100 %訓練することはできない。だから **意識向上トレーニング + 技術的制御(フィッシング耐性MFA、メール隔離、EDR)** の組み合わせが答えだ。「人間が弱い環」を「人間が強い環」に変えるのではなく、 **人間が間違えても大事故にならないシステム** を作る。

エピローグ — MitnickからGenAIまで、30年の教訓

Kevin Mitnickは2002年の著書「The Art of Deception」でこう書いた。

> 「セキュリティの最も弱い環は人間である。そして最も強い防衛線もまた人間である。」

30年経った2026年もこの命題は変わらない。変わったのは攻撃者のツールだ。GPT-4が英語ネイティブレベルのBECメールを0.001 USDで生成し、ElevenLabsが3分の音声でCEOクローンを作る。Arupの2,500万USD事件がその分水嶺だった。

防御側の答えは明確だ。

- **AIシミュレーション** — KnowBe4 AIDA、Hoxhunt適応型、Cofense脅威インテリ。

- **行動測定 + HRM** — Living Security、CybSafe。

- **フィッシング耐性認証** — Passkey、FIDO2。

- **コンプライアンス + 測定** — NIST Phish Scale、NIS2、PCI DSS 4.0。

そして最も重要なのは — **人を責めない文化** 。クリックした従業員に恥をかかせれば報告率が下がる。Hoxhuntが「No Gotcha」哲学を強調する理由、NINJIOが漫画キャラクターを使う理由だ。

Mitnickのもう一つの名言。

> 「技術がどれだけ進化しても、1本の電話・1通のメールが最も速い。」

2026年でもその文章は依然として正しい。ただしその電話・メールがいまやAIによって自動生成されるという点だけが違う。

参考資料

- KnowBe4 — [knowbe4.com](https://www.knowbe4.com/)

- Hoxhunt — [hoxhunt.com](https://hoxhunt.com/)

- Cofense — [cofense.com](https://cofense.com/)

- Proofpoint Security Awareness — [proofpoint.com/us/products/security-awareness-training](https://www.proofpoint.com/us/products/security-awareness-training)

- Infosec IQ — [infosecinstitute.com](https://www.infosecinstitute.com/)

- Mimecast Awareness Training — [mimecast.com](https://www.mimecast.com/)

- Sophos Phish Threat — [sophos.com/en-us/products/phish-threat](https://www.sophos.com/en-us/products/phish-threat)

- NINJIO — [ninjio.com](https://ninjio.com/)

- CybSafe — [cybsafe.com](https://www.cybsafe.com/)

- Living Security — [livingsecurity.com](https://www.livingsecurity.com/)

- AwareGO — [awarego.com](https://awarego.com/)

- MetaCompliance — [metacompliance.com](https://www.metacompliance.com/)

- Phriendly Phishing — [phriendlyphishing.com](https://www.phriendlyphishing.com/)

- CrowdStrike Falcon Awareness(旧Curricula) — [crowdstrike.com](https://www.crowdstrike.com/)

- Terranova Security — [terranovasecurity.com](https://www.terranovasecurity.com/)

- GoPhish — [getgophish.com](https://getgophish.com/)

- NIST Phish Scale — [nist.gov/itl/applied-cybersecurity/nist-phish-scale-user-guide](https://www.nist.gov/itl/applied-cybersecurity/nist-phish-scale-user-guide)

- NIST SP 800-50 — [csrc.nist.gov/publications/detail/sp/800-50/final](https://csrc.nist.gov/publications/detail/sp/800-50/final)

- NIST SP 800-63 (Digital Identity) — [pages.nist.gov/800-63-3/](https://pages.nist.gov/800-63-3/)

- Verizon DBIR — [verizon.com/business/resources/reports/dbir/](https://www.verizon.com/business/resources/reports/dbir/)

- Abnormal Security — [abnormalsecurity.com](https://abnormalsecurity.com/)

- IRONSCALES — [ironscales.com](https://ironscales.com/)

- Material Security — [material.security](https://material.security/)

- Tessian (Proofpoint) — [tessian.com](https://www.tessian.com/)

- KnowBe4 PhishER — [knowbe4.com/products/phisher](https://www.knowbe4.com/products/phisher)

- Arup ディープフェイク事件(CNN報道、2024年2月) — [edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html](https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html)

- KISA サイバー危機対応訓練 — [boho.or.kr](https://www.boho.or.kr/)

- 金融保安院(FSI) — [fsec.or.kr](https://www.fsec.or.kr/)

- NRI Secure — [nri-secure.co.jp](https://www.nri-secure.co.jp/)

- TrendMicro Phish Insight — [phishinsight.trendmicro.com](https://phishinsight.trendmicro.com/)

- NISC サイバーセキュリティ — [nisc.go.jp](https://www.nisc.go.jp/)

- FIDO Alliance — [fidoalliance.org](https://fidoalliance.org/)

- Passkeys (Apple Developer) — [developer.apple.com/passkeys/](https://developer.apple.com/passkeys/)

- EU NIS2 Directive — [digital-strategy.ec.europa.eu/en/policies/nis2-directive](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive)

- PCI DSS 4.0 — [pcisecuritystandards.org](https://www.pcisecuritystandards.org/)

- ISO 27001:2022 — [iso.org/standard/27001](https://www.iso.org/standard/27001)