セキュリティ注意喚起をAIで作る方法

フィッシング詐欺・ランサムウェア・パスワード漏洩——セキュリティインシデントに関するニュースが出るたびに、情報システム担当者は社内向けの注意喚起文書を急いで作成しなければならない。緊急度が高いにもかかわらず、文章を一から作るのに1〜2時間かかるのでは対応が遅れる。AIを使えば、情報システム固有の注意喚起文書が30分以内に仕上がる。

結論

セキュリティ注意喚起のAI作成は「発信したい情報の骨子と対象読者をAIに伝え、出力を事実確認する」という流れで完結する。IPAやJPCERT/CCが公開するアドバイザリの概要をAIに渡せば、技術情報を一般社員向けに噛み砕いた文章が数分で出る。脆弱性情報の正確さだけは必ず公式情報源と照合することが前提だ。

どのAIツールを使うか

**ChatGPT（GPT-4o）**はセキュリティ関連の語彙と概念を広く学習しており、フィッシング・ランサムウェア・VPN脆弱性など多様なテーマの注意喚起文を生成できる。一般社員向けに平易に書き換える指示の解釈精度も高い。

Claudeは長い指示文を正確に守る傾向が強く、出力フォーマットを細かく指定した場合に安定した結果が出る。社内ポリシーの引用や複数の行動指示を一度に含む文書の生成に向く。

いずれのツールも、脆弱性の技術的な詳細（CVE番号・影響バージョンなど）はAIの学習データの範囲に限定される。最新の脆弱性情報は必ずIPAやJPCERT/CC、各ベンダーの公式アドバイザリで確認し、AIの出力と照合する。

AIでセキュリティ注意喚起を作成する手順

ステップ1：発信すべき情報を整理する

まず注意喚起の骨子を整理する。AIに渡す前に以下の項目を決めておく。

• 注意喚起のテーマ（フィッシング・マルウェア・特定製品の脆弱性など）
• 発信のきっかけ（IPAアドバイザリの公開・社内インシデント発生・取引先からの連絡など）
• 対象読者（全社員 / 技術担当者 / 特定部門）
• 読者に求める行動（○○を行う・○○を避ける・○○を確認する）
• 緊急度（即時対応が必要か・注意喚起レベルか）

この5点が揃うと、プロンプトの指示が具体的になり出力の品質が上がる。

ステップ2：プロンプトを入力する

フィッシングメール増加に関する全社向け注意喚起を作成する場合のプロンプト例を示す。

以下の骨子をもとに、全社員向けのセキュリティ注意喚起メール（本文）を作成してください。

条件：
- 対象読者：ITに詳しくない一般社員
- 敬体（です・ます）で書く
- 件名を含める（件名に【重要】を付ける）
- 構成：状況説明（2〜3文）→ 具体的なリスク説明（1〜2文）→ 行動指示（番号付きリスト）→ 問い合わせ先（プレースホルダで示す）
- 行動指示は3〜5項目にまとめる
- 全体600字以内

骨子：
- テーマ：フィッシングメールの増加
- 発信のきっかけ：IPAが2024年のフィッシング被害報告が前年比増加と発表
- リスク：添付ファイルやURLクリックによるマルウェア感染・認証情報窃取
- 求める行動：不審なメールの添付ファイルを開かない、URLをクリックしない、不審なメールを受け取ったらヘルプデスクに転送する
- 緊急度：注意喚起レベル（即時対応不要）

ステップ3：技術担当者向け版も生成する

同じテーマで技術担当者向けの詳細版も生成しておくと、インフラ・セキュリティ担当者への連携がスムーズになる。

同じフィッシングメール増加の注意喚起について、情報システム部門の技術担当者向けの詳細版を作成してください。

条件：
- 対象：情報システム部門の技術担当者
- 一般向けより技術的な内容を含める
- 構成：状況概要 → 技術的な攻撃手法の説明 → 組織として取るべき対策 → 個人として確認すべき設定 → 参考情報源
- 参考情報源はIPA・JPCERT/CCを記載するが、具体的なURLは[公式サイトで確認]のプレースホルダにする
- 全体1,000字以内

ステップ4：事実情報を確認する

AIが生成した注意喚起文で必ず確認するのは以下の点だ。

1. 統計・数値情報が公式ソース（IPA・JPCERT/CC）と一致しているか
2. 脆弱性情報（CVE番号・影響バージョン）が正確か
3. 行動指示が自社の実際の手順と一致しているか（問い合わせ先・報告方法）
4. 緊急度の表現が実態と合っているか（「至急」「重要」の使い分け）

AIは最新の脆弱性情報を持っていない場合がある。発信前に必ずIPA（情報処理推進機構）やJPCERT/CCの最新アドバイザリを確認することが前提だ。

ステップ5：テンプレートを整備して共有する

一度作ったプロンプトは社内Wikiに保存して、チームで使い回せるテンプレートとして整備する。フィッシング・ランサムウェア・パスワード漏洩・ソーシャルエンジニアリングなど類型別に整備しておくと、次回は骨子を更新するだけで済む。

情報システム固有の活用シーン

シーン1：緊急脆弱性対応の社内通知

重大な脆弱性（IPAが緊急レベルで公表するもの）が発表された場合、技術担当者向けと全社員向けの2種類の通知を素早く作る必要がある。以下のプロンプトで2パターンを一度に生成できる。

[製品名]に重大な脆弱性（CVE番号：[番号]）が発見されました。以下の2種類の社内通知を作成してください。

【パターン1：全社員向け（ITに詳しくない読者）】
- 件名：【重要】[製品名]のセキュリティ更新について
- 内容：何をすべきか（具体的な行動指示）を中心に300字以内で簡潔に書く
- 技術用語は使わない

【パターン2：情報システム部門向け（技術担当者）】
- 件名：【緊急対応】[製品名] 脆弱性対応について
- 内容：脆弱性の概要・影響範囲・対応手順・期限を含む800字以内で書く
- バージョン情報・パッチ適用手順はプレースホルダで示す

脆弱性の概要：
（IPAやベンダーのアドバイザリから抜粋して貼り付ける）

脆弱性アドバイザリの内容をAIに渡すことで、技術情報を対象読者に応じた表現に変換させられる。ただし、CVE番号・影響バージョン・パッチの詳細は必ず公式情報と照合する。

シーン2：年次セキュリティ教育の補助教材作成

年1〜2回実施するセキュリティ教育の補助教材（クイズ・ケーススタディ）をAIで作成すると、教材準備の工数が大幅に削減できる。

社員向けセキュリティ教育で使う、フィッシングメールに関するクイズを10問作成してください。

条件：
- 対象：IT知識が一般的な社員（技術担当者以外）
- 形式：4択問題（正解1つ）
- 難易度：基本〜標準（極端に難しい問題は入れない）
- 各問題に解説を付ける（正解の理由と間違いやすいポイント）
- 実際の業務場面に即した状況設定にする（「取引先からのメールで…」など）
- ランサムウェア・パスワード管理・SNS投稿リスクの問題も各2問含める

教育担当者がゼロから問題を作ると数時間かかる作業が、30分以内で草稿が完成する。内容の正確さは専門知識で確認する必要があるが、出発点の生成にAIが大きく貢献する。

うまくいかない場合の対処

文章が堅くて読まれない：プロンプトに「箇条書きを積極的に使い、読み飛ばしやすいレイアウトにしてください」と追記する。長い段落より短い箇条書きのほうが一般社員に読まれる。

行動指示が曖昧になる：「行動指示は『〇〇してください』という動詞で終わる命令形で書くこと」と追記する。AIは柔らかい表現を好む傾向があるため、具体的な行動を命令形で書くよう明示する。

技術情報が不正確：最新の脆弱性情報についてはAIの学習データが古い場合がある。IPAのJVN（Japan Vulnerability Notes）やJPCERT/CCの公式アドバイザリを確認し、CVE番号・影響バージョン・パッチ情報は必ず公式情報で上書きする。

緊急度の表現が弱い：「緊急対応が必要な旨を件名と冒頭の1文で明示し、期限を具体的な日時で示してください」と指示する。

作業量の目安

文書の種類	従来の作成時間	AI活用後の所要時間
全社向け注意喚起メール（1本）	30〜60分	5〜10分
技術担当者向け詳細通知（1本）	45〜90分	10〜15分
教育用クイズ（10問）	2〜3時間	20〜30分
緊急脆弱性通知（2パターン）	60〜90分	10〜20分

月3〜4件の注意喚起を作成する担当者なら、月2〜3時間の削減になる計算だ。ただし事実確認にかかる時間は短縮できないため、AI活用で浮いた時間を情報収集と確認に充てる運用が適切だ。

他の業務への応用

セキュリティ注意喚起で使った「骨子を渡して対象読者に合わせた文章を生成する」アプローチは、社内ヘルプ対応をAIで効率化する方法にも応用できる。障害発生時の全社通知については障害報告をAIでまとめる方法と組み合わせると、障害通知から報告書まで一貫してAIで効率化できる。

導入の第一歩

まず直近のIPAやJPCERT/CCのアドバイザリを1件選び、上記のプロンプトで注意喚起文の草稿を生成してみる。実際に配信する予定がなくても、出力の品質と事実確認の手順を一度確かめておくと、緊急時に迷わず使えるようになる。