Hello there, ('ω')ノ
〜“座学”では伝わらない、OSINTで実感するリスク〜
🧠 セキュリティ研修の課題とは?
多くの企業で行われているセキュリティ研修は、 「受け身」「記憶型」「一過性」になりがちです。 しかし、実際の脅威は日常の中に潜んでおり、 “自分ごと”として実感しない限り、行動は変わりません。
📌 OSINTは、“実例ベース”でセキュリティ意識を高める強力なツールです。
🔍 OSINTが研修に効果的な理由
✅ 1. 「実際に自社情報を調べる」体験が可能
- 受講者自身の公開SNS情報やメール流出状況を調べる演習を取り入れる → 自らの露出に驚き、注意意識が生まれる
✅ 2. 攻撃者視点を体験できる
- 「この情報があればどう攻撃されるか?」を疑似的に体験するレッドチーム演習
- 攻撃の手口を再現しながら、防御の必要性を体感
✅ 3. チームで問題を発見・分析する力が育つ
- グループに分かれて“会社のサブドメイン探索”や“偽アカウント発見”などの演習
- 情報収集 → 分析 → 報告 という実務に近い流れで研修が構成可能
🛠 OSINT演習で活用できるテーマ例
| テーマ | 内容例 |
|---|---|
| 自分の情報を調査せよ | 名前・メール・SNSを検索して「どこまで出ているか」可視化 |
| 自社をGoogleドーキングせよ | site:company.co.jp filetype:xls などの検索演習 |
| フィッシング演習 | 偽ドメイン作成の手口と検出方法を体験 |
| 偽情報の拡散ルート調査 | SNSや掲示板から炎上原因を逆追跡 |
| レッドチーム vs ブルーチーム | 一方が“攻撃者”、他方が“監視者”として対抗演習 |
✅ 実施にあたってのポイント
- 事前に“何を調べるか”の許可・範囲を明確に定義(社員のSNS調査などは特に注意)
- 成果物は批判ではなく“気づき”として共有
- 受講後の行動変容(例:SNS設定変更、パスワード強化)を促す設計が重要
🧪 成功事例:ある企業のセキュリティ演習
- 入社3年以内の若手社員を対象に、自分の名前・メールでOSINT演習
- 自社ドメインのGoogle検索で誤って公開されていた資料を発見
- 最後に「攻撃者の立場で考えてみよう」というディスカッションを実施 → 結果:研修後1か月で、社員のSNS公開範囲見直し率80%超
✅ まとめ:OSINTは“現場感覚のある研修”を可能にする
- OSINTを活用することで、自分たちが実際に“どう見られているか”を実感できる
- 技術がわからなくても、リスクを視覚的に理解し、行動を変える研修が実現可能
- セキュリティ教育は、“実感”と“体験”が鍵。OSINTはその両方を提供してくれる
Best regards, (^^ゞ
