約90%のサイバー攻撃による情報漏洩、実は人為的ミスが原因： 生成AI時代の標的型攻撃対策

生成AI時代の標的型攻撃対策にはAI活用が有効です。イスラエルUnit 8200由来のAIRONWORKSは、リアルな訓練メール作成と運用自動化で工数を85%削減。実践的な訓練で従業員の対応力を強化します。

AI駆動型サイバーセキュリティ訓練プラットフォームの詳細はこちら
お問い合わせはこちら

1. 序論：生成AIの普及とサイバー攻撃の高度化

1.1. 生成AIが変えた攻撃の手法

日々の業務とセキュリティ対策への取り組み、誠にお疲れ様です。DX（デジタルトランスフォーメーション）が進む現在、企業におけるセキュリティ対策の重要性はますます高まっています。

まず、近年の攻撃手法の変化について確認します。2022年以前、フィッシングメールの多くは「不自然な日本語」や「違和感のある文脈」を含んでおり、これらが攻撃を見抜く主な判断材料となっていました。

しかし、2026年現在、状況は変化しています。ChatGPTをはじめとする生成AI（大規模言語モデル）の技術向上により、攻撃者は高度な日本語を用いたメールを容易に作成できるようになりました ¹。

1.2. 従来の判断基準が通用しない現状

これまで多くの企業では、「不自然な日本語やURLに注意する」という教育を行ってきました。しかし、AIによって生成された攻撃メールに対しては、この基準は有効ではありません ²。

「日本語が正しいから安全だ」「知っているイベントの話だから関係者だ」といった思い込みは、むしろリスクとなります。

NTTコミュニケーションズなどの報告によると、現在の攻撃メールは文法的に正しいだけでなく、人間らしい「気遣い」や「曖昧さ」まで模倣するようになっています³。これにより、大量かつ個々のターゲットに最適化された攻撃が可能になりました。

1.3. 人的リスク管理（Human Risk Management）の必要性

技術的な防御（ファイアウォールやEDRなど）は依然として重要ですが、攻撃の多くはメールやチャットを経由し、従業員の操作（クリックや入力）を起点として発生しています。

そのため、「人的リスク管理（Human Risk Management: HRM）」という考え方が重要視されています⁴。これは、従業員を管理対象とするだけでなく、組織の防御システムの一部として機能させるための取り組みです。

労働人口の減少や業務負荷の増大という課題を抱える日本企業において⁶、新しい技術に対応した「人と組織の守り方」を再構築することが求められています。

2. 従来のメール訓練における課題

多くの企業では、年に数回の「標的型攻撃メール訓練」を実施していますが、その実効性には課題が残されています。

2.1. テンプレート型訓練の問題点

従来の訓練サービスの多くは、用意されたテンプレートから文面を選択して一斉送信する方式です。この方式には主に3つの課題があります。

1. 予測が可能であること:
   従業員が訓練の時期や文面のパターンを学習してしまい、訓練メールであることを容易に特定できてしまいます。
2. リアリティの不足:
   実際の攻撃は業務内容に即した具体的な件名や内容で行われますが、汎用的なテンプレートではこれを再現できません。
3. 効果の一過性:
   年に数回の実施では、時間の経過とともに警戒心が低下します。

これでは、突発的かつ巧妙なAIによる攻撃に対応する能力を養うことは困難です。

2.2. 繰り返しの訓練による警戒心の低下

質の低い訓練を繰り返すことは、従業員の「慣れ」や「警戒心の低下」を招く可能性があります。

明らかに訓練とわかるメールばかりでは、従業員は真剣に取り組まなくなる恐れがあります。一方で、判定が困難なメールを送るだけで適切なフィードバックを行わない場合、従業員は過剰に警戒し、正規の業務メールへの対応が遅れるといった弊害も生じます。

本来、訓練は誤った判断をした際に気づきを得て、行動を修正するための機会であるべきです。

2.3. 日本企業の組織文化とリスク

日本企業の組織文化において、「礼儀」「迅速な対応」「関係性への配慮」は重要視されますが、攻撃者はこれを利用します。

「至急確認してください」「上層部からの承認済みです」といった緊急性や権威を用いた文面に対し、真面目な従業員ほど「確認しないと失礼になる」「業務に支障が出る」と考え、添付ファイルを開いてしまう傾向があります。

全社員に同じ文面を送る一律的な訓練では、部署や役職ごとに異なる心理的な隙（攻撃されやすいポイント）に対応することはできません。

3. イスラエル国防軍「Unit 8200」の技術的背景

こうした課題に対し、サイバーセキュリティ先進国であるイスラエルの技術が解決策として注目されています。

3.1. Unit 8200（8200部隊）の概要

イスラエル国防軍の「Unit 8200」は、信号諜報（シギント）や暗号解読、サイバー攻撃・防御を担当する情報部隊です ⁷。

この部隊の特徴は、高度な技術力に加え、実践的な課題解決能力と変化への適応力にあります。Check PointやPalo Alto Networksなど、世界的なセキュリティ企業の創業者の多くがこの部隊の出身であり、実戦的なセキュリティの知見を有しています。

3.2. 創業者・寺田彼日氏と開発の経緯

AIRONWORKSの創業者である寺田彼日氏は、京都大学大学院を経てイスラエルへ渡り、現地の技術者と交流を深めました ⁷。

寺田氏は、常にセキュリティリスクと隣り合わせにあるイスラエルの環境で、Unit 8200出身のエンジニアたちが持つ「防御のために攻撃手法を知る」という考え方に触れました。

日本企業も国際的なサイバー攻撃の標的となっている現状を踏まえ、イスラエルの攻撃技術を防御システムとして活用するためにAIRONWORKSを開発しました。

3.3. 攻撃者の視点を取り入れた防御設計

サイバーセキュリティにおいて、「攻撃者の視点を持つ」ことは重要です。AIRONWORKSは、攻撃者が使用する技術やプロセスを模倣することで、組織の脆弱性を特定し、対策を行う仕組みを採用しています。

具体的には、Unit 8200出身者が持つ「偵察」「侵入」のノウハウをAIに学習させています ⁸。これにより、理論上の攻撃ではなく、実際に発生している成功率の高い攻撃パターンを用いた訓練を提供することが可能です。

4. AIRONWORKSの機能：AIによる攻撃シミュレーション

AIRONWORKSがどのように攻撃者視点をシステム化し、訓練を実施しているかについて、その機能を解説します。

4.1. OSINT（公開情報収集）による情報の自動収集

攻撃の第一段階は情報の収集です。攻撃者は企業の公式サイトやプレスリリース、従業員のSNSなどから情報を収集します（OSINT: Open Source Intelligence）。

AIRONWORKSは、このプロセスをAIで自動化しています ¹⁰。

例えば、企業のウェブサイトに掲載された展示会出展情報をAIが検知し、「展示会の件について」という件名のメールを作成します。また、LinkedInなどの情報から職種を特定し、その業務に関連する内容（例：採用担当者への応募メールなど）を生成します。

AIによる自動調査により、組織ごとの攻撃対象領域（アタックサーフェス）を可視化し、リアリティのある訓練文面を作成します。

4.2. 生成AIによる文面の個別作成

収集した情報を基に、AIが訓練用のメール文面を作成します ¹⁰。

• 自然な日本語表現: ビジネスメール特有の敬語や定型句を適切に使用し、違和感のない文面を生成します ¹。
• 文脈の活用: 「セキュリティ更新の通知」「年末調整の案内」など、その時期や業務において確認が必要なシナリオを選択します。
• 多様な攻撃手法: テキストだけでなく、QRコードを用いた攻撃（Quishing）やSMSを用いた攻撃（Smishing）にも対応しています ²。

4.3. セキュリティ製品を回避する手法の再現

AIRONWORKSが生成する訓練メールは、既存のメールセキュリティ製品（ゲートウェイ）を通過するテクニックもシミュレーションします。

これにより、「セキュリティ製品があるから安全」という認識を改め、技術的な防御をすり抜けてメールが届く可能性があることを従業員に認識させます。

5. 従業員による検知と報告：PhishDetectAI

不審なメールを受信した際、従業員に求められる行動は「削除」ではなく「報告」です。報告により情報を共有することで、他の従業員への被害を防ぐことができます。

5.1. 報告ツールによる検知と共有

AIRONWORKSは、訓練機能に加えて「PhishDetectAI（フィッシュ・ディテクト・エーアイ）」というツールを提供しています ¹³。これはメールソフトに追加される報告ボタンです。

従業員が不審に感じたメールについてボタンを押すと、以下の処理が自動で行われます ¹³。

1. AI解析: メールのヘッダー情報、本文、URLなどをAIが分析します。
2. 危険度判定: 「安全」「注意」「危険」を判定し、従業員に通知します。
3. 管理者通知: 危険と判定された場合、セキュリティ担当者にレポートが送信されます。

これにより、従業員は組織のセキュリティセンサーとしての役割を果たし、組織全体の防御力を向上させます（ヒューマンファイアウォール） ⁸。

5.2. 報告文化の醸成とポジティブな評価

従来の訓練では、開封した従業員に対して注意や再教育を行うことが一般的でしたが、これは報告を躊躇させる原因となることがあります。

AIRONWORKSでは、「報告したこと」を評価する仕組みを推奨しています。PhishDetectAIを使用することで、従業員は自分の判断が正しかったかを確認でき、安全に対する意識を高めることができます。

5.3. リアルタイムの学習効果

学習効果を高めるには、行動の直後にフィードバックを行うことが有効です。

訓練メールを開封した直後に、「これは訓練でした。この点が不審でした」という解説を表示することで、後日の研修よりも高い学習効果が期待できます ¹⁰。また、個人の苦手分野に合わせて、短い学習コンテンツを自動配信する機能もあります。

6. 運用工数の削減と自動化

ここからは、管理者にとってのメリットである業務効率化について解説します。

6.1. セキュリティ人材不足の現状

経済産業省のデータ等によると、日本におけるセキュリティ人材の不足は今後も続くと予測されています ⁶。

多くの中堅・大手企業では、情報システム部門のリソースが不足しており、訓練の準備や集計作業に十分な時間を割くことが困難な状況です。

6.2. 運用プロセスの自動化（最大85%削減）

以下のプロセスが自動化されています。

• シナリオ作成: AIが最新の攻撃トレンドと企業の公開情報を基に文面を作成・提案します。
• 教育の割り当て: 訓練結果に基づき、必要な対象者への追加教育を自動配信します。
• レポート作成: 部門別のリスクスコアや経年変化などを分析したレポートを自動生成します ¹⁰。

管理者は、AIが提案する計画を確認・承認するだけで運用が可能となり、戦略的な業務にリソースを集中できます。

6.3. 定量データによる効果測定

AIRONWORKSは、セキュリティ対策の効果を数値で可視化します。

「クリック率の推移」「報告率の向上」「再発率の低下」などの指標（KPI）を提供することで、経営層に対して投資対効果（ROI）を明確に説明することが可能になります ¹⁶。

7. 導入事例と他社比較

実際にAIRONWORKSを導入した企業の事例と、他社製品との違いについて紹介します。

7.1. 導入事例における効果

• 大手建材メーカー:
  PhishDetectAIの導入により、不審メール対応にかかる工数が約84%削減されました ¹⁶。AIが一次対応を行うことで、担当者の負担が大幅に軽減されました。
• グローバル製造業:
  導入から半年で、従業員がフィッシングメールに騙される確率が78%低下しました ¹⁶。
• アサヒグループジャパン:
  「本物の脅威に対抗できる組織」を目指して導入し、現場の行動変容と組織全体のガバナンス強化につなげています ¹⁷。

7.2. 競合製品との違い

KnowBe4などの海外製品と比較した際の、AIRONWORKSの特徴は以下の通りです。

• 日本市場への適合: 日本の商習慣や言語のニュアンスを理解した設計となっており、違和感のない日本語での訓練が可能です ¹⁸。
• サポート体制: 日本拠点のカスタマーサクセスチームによる導入・運用支援があります ¹⁷。

7.3. 経営層への説明ポイント

導入を検討する際、経営層への説明として以下の点が挙げられます。

「生成AIによる攻撃が高度化する中、従来の訓練では対応が困難です。AIを活用したAIRONWORKSを導入することで、実戦的な防御力を高めることができます。また、運用の自動化により工数を削減し、リソースを他の重要業務に充てることが可能となるため、組織の生産性と安全性を両立する投資となります。」

8. よくある質問（Q&A）

Q1. リアルな訓練メールで、従業員からクレームが発生しませんか？

A1. 事前の周知と適切なフォローで防ぐことができます。

導入時に「AI時代に備えた実践的な訓練を行う」という目的を明確に伝えます。また、訓練直後の学習コンテンツで「なぜ危険なのか」を論理的に解説することで、従業員の理解を得やすく、「勉強になった」という反応につながります。

Q2. 既存のメールセキュリティ製品（Microsoft Defenderなど）と重複しませんか？

A2. 重複ではなく、相互に補完する関係です。

既存の製品は既知の脅威をブロックするのに有効ですが、AIが生成する自然な文面の攻撃はすり抜ける場合があります。AIRONWORKSとPhishDetectAIは、製品をすり抜けた攻撃に対する「人の判断」を強化するものです。

Q3. 運用リソースが不足していますが、導入可能ですか？

A3. はい、運用の自動化が特徴です。

初期設定を行えば、シナリオ作成から配信、教育、レポート作成までAIが自動で行います。担当者は定期的にレポートを確認するだけで運用が可能です ¹²。

9. 結論：効率的かつ実践的なセキュリティ対策へ

生成AIの普及により、サイバー攻撃の手法は変化しており、防御側もそれに対応する必要があります。

AIRONWORKSは、Unit 8200由来の技術を活用し、実際の攻撃に近い環境での訓練を提供します。これにより、従業員の対応力を向上させるとともに、運用業務の自動化によって管理者の負担を軽減します。

形式的な訓練から、実戦的で効率的な訓練への移行をご検討ください。現状のリスクを把握するためのデモや診断も利用可能です。

引用文献

1. ChatGPTの裏で進む新たな攻撃｜生成AIを悪用したサイバー攻撃、2025年の最新事例 – note https://note.com/ranryu_inc/n/n7bc94faf3393
2. AI悪用フィッシング詐欺の脅威動向 2025｜生成AI・ディープフェイク最新情報 – ガーディアン https://guardian.jpn.com/security/scams/phishing/news/ai-threats/
3. 生成AIが作る「本物そっくりの攻撃メール」に要注意！新時代のフィッシング攻撃とその対策方法 https://www.ntt.com/bizon/d/00732.html
4. 人的資本リスクマネジメントフォーラム2025 – 危機管理カンファレンス https://risk-conference.net/forum/hrmf2025/
5. 守りから攻めへ、環境変化に追随するリスク管理 2025年度CRO意識調査 | PwC Japanグループ https://www.pwc.com/jp/ja/knowledge/thoughtleadership/cro-survey-2025.html
6. 【2025年2月】IT人材不足を経済産業省が指摘。企業が今後取るべき対策を解説 – overflow https://overflow.co.jp/hr/4475
7. 【京大吹零会 起業家インタビュー】AironWorks Co., Ltd Co … – note https://note.com/suirei_kai/n/naf603fa7625c
8. 本気のAI標的型攻撃メール訓練 | AironWorks | AIサイバー … https://jp.aironworks.com/ai-lp
9. AironWorks – NECネッツエスアイ https://www.nesic.co.jp/solution/security-governance/security-assessment/AironWorks.html
10. テリロジー、AironWorks社のAIを活用した 次世代型セキュリティ訓練プラットフォームの取り扱い https://www.terilogy.com/news/8427.html
11. アウトソース型 セキュリティ教育サービス | AironWorks – Optimizing Your Security – 電通総研 https://security.dentsusoken.com/aironworks/
12. テリロジー、AironWorks社のAIを活用した次世代型セキュリティ訓練プラットフォームの取り扱いを開始 – PR TIMES https://prtimes.jp/main/html/rd/p/000000083.000017278.html
13. PhishDetectAI: 従業員一人ひとりのAIセキュリティアシスタントがメール危険度を判断 https://lp.aironworks.com/
14. AironWorks株式会社と業務提携、AI駆動型次世代メールセキュリティサービスの共同展開を開始 https://solvvy.co.jp/news/20251104-2/
15. ＩＴ人材需給に関する調査（概要） – 経済産業省 https://www.meti.go.jp/policy/it_policy/jinzai/gaiyou.pdf
16. AironWorks | TERILOGY – 株式会社テリロジー https://cloudsolution.terilogy.com/aironworks
17. アサヒグループジャパン株式会社 | AironWorks | 導入事例 https://jp.aironworks.com/works/1713/
18. KnowBe4の料金･評判･口コミについて – STRATE[ストラテ] https://strate.biz/waf/knowbe4/
19. KnowBe4(ノウ・ビフォー)の評判と料金は？なぜ、選ばれるのか https://leapdog.co.jp/waf/knowbe4/
20. KnowBe4の評判・口コミ 全5件【ITreview】IT製品のレビュー・比較サイト https://www.itreview.jp/products/knowbe4/reviews

光マトリクス・スイッチの詳細はこちら
お問い合わせはこちら