なぜ作成したのか

• 東京出張のお供に読んでた「ゲームフルデザイン」に触発された気持ち

社員向けセキュリティ教育・啓発向けゲームコンテンツ一覧

• 社員へのサイバーセキュリティ教育・啓発に活用できる、アナログ（ボードゲーム・カードゲーム）およびデジタル（PCゲーム・モバイルアプリ・オンラインシミュレーション）形式のゲームコンテンツを以下にまとめます。
• 各コンテンツの提供元や対象テーマ、形式、対応言語、費用、概要、および利用実績（導入事例など）が分かるよう表に整理しました。

アナログ形式のゲームコンテンツ

以下はカードゲームやボードゲームなどアナログ形式のセキュリティ学習コンテンツです。ゲームを通じて対話やシミュレーションを行い、楽しみながらセキュリティ知識を習得できます。

ゲーム名	提供元（企業・団体）	セキュリティテーマ	ゲーム形式	提供国	対応言語	費用	概要	利用実績・導入例
SECWEREWOLF （セキュリティ人狼）	日本ネットワークセキュリティ協会（JNSA）	内部不正の発見・インシデント対応（社内CSIRT vs 内部犯行者）	カードゲーム（会話型）	日本	日本語（英語ルールあり）	有料（要購入）	有名なパーティゲーム「人狼」をベースに、組織内のCSIRTチーム（村人役）と腐敗社員・ブラックハットハッカー（人狼役）に分かれて社内の内部不正を暴くゲーム。プレイヤーは会話で「腐敗社員」を推理し、処分すべき人物を投票で決定します ([Board game on Cyber Security for Awareness Raising - JPCERT/CC Eyes	JPCERT Coordination Center official Blog](https://blogs.jpcert.or.jp/en/2017/03/board-game-on-cyber-security-for-awareness-raising.html))。ゲーム後には「なぜ不正に気付けたか」「不正防止にはどんな体制が必要か」といった振り返り教材も付属し、内部不正の兆候やCSIRTの役割について学べます ([Board game on Cyber Security for Awareness Raising - JPCERT/CC Eyes
サイバーセキュリティ対策かるた	情報処理推進機構（IPA）	ランサムウェア、フィッシング、パスワード管理、Wi-Fi盗聴など全般 ([IPA、「サイバーセキュリティ対策かるた」で見落とされがちなリスクを啓発	TECH+（テックプラス）](https://news.mynavi.jp/techplus/article/20211110-2182921/))	カードゲーム（かるた）	日本	日本語	無料	中小企業の身近な業務に潜む様々なリスクを、全46枚の読み札・取り札にまとめたかるた形式の教材。例えば「ランサムウェア」や「フィッシング詐欺」「パスワード使い回し」等のトピックごとにキャッチフレーズとイラストを描き、約100文字の解説も付記されています ([IPA、「サイバーセキュリティ対策かるた」で見落とされがちなリスクを啓発
Backdoors & Breaches （B&B）	Black Hills Information Security他	インシデント対応手順、攻撃手法の理解（疑似卓上演習）	カードゲーム	米国	英語	有料（デッキ $10）	セキュリティ企業Black Hills社が提供する全52枚のカードで構成されたインシデントレスポンス訓練ゲームです (Backdoors & Breaches: Core Deck v2.2 – Spearphish General Store)。プレイヤーは組織へのサイバー攻撃シナリオを想定した卓上演習を行い、初期侵入、横展開、持続化、C2通信、データ侵害など各攻撃フェーズに対応するカードを引いて対策を検討します (Backdoors & Breaches: Core Deck v2.2 – Spearphish General Store)。楽しみながら組織の対応手順の穴を発見し、攻撃者の戦術・手口を学べる教材です (Backdoors & Breaches: Core Deck v2.2 – Spearphish General Store)。	米国の企業や政府機関、大学のサイバークラブなどで広く導入されています (Backdoors & Breaches: Core Deck v2.2 – Spearphish General Store)。Fortune 500企業や行政機関がこのカードゲームを用いて自社のセキュリティ訓練を実施した実績があります (Backdoors & Breaches: Core Deck v2.2 – Spearphish General Store)。
Elevation of Privilege （EoP）	マイクロソフト	ソフトウェアの脅威モデリング（設計段階の脆弱性発見）	カードゲーム	米国	英語他（※OSSで翻訳有）	無料（印刷/データ）	Microsoftのセキュリティ専門家Adam Shostack氏が開発した、開発者向けの脅威モデリングカードゲームです (Shostack + Associates > Tabletop Security Games + Cards )。トランプの要領でカードを引き、カードに書かれたカテゴリ（スプードの権限昇格などSTRIDEモデルに基づく）に沿ってソフトウェアの潜在的な脅威を洗い出します。ゲーム形式でシステム設計時の「脅威発見」をチームで行うことで、開発者がセキュリティ要件を楽しく学べます (Shostack + Associates > Tabletop Security Games + Cards )。	マイクロソフト社内や開発コミュニティで広く利用されており、カードとルールはGitHubで無償公開されています (Shostack + Associates > Tabletop Security Games + Cards )。ソフトウェア開発企業の研修では、安全な設計教育にEoPを採用する例があります。
Control-Alt-Hack	ワシントン大学（米）	ホワイトハッキング（社会工程・物理/ネットワーク攻撃など）	カードゲーム	米国	英語	有料（$25程度）	大学研究チームが開発したカードゲームで、プレイヤーはセキュリティ会社「Hackers, Inc.」のホワイトハッカーとなり、様々なミッションを遂行します (Control-Alt-Hack(R))。ソーシャルエンジニアリングで送電網をハックしたり、ロボット掃除機を改造したりとユニークな任務カードが用意され (Control-Alt-Hack(R))、ダイスロールとスキルカード（「ネットワーク忍者」「ハードウェアハッキング」など）で成功判定します。ゲームを通じて多彩なセキュリティ攻撃・防御手法やホワイトハッカーの業務を疑似体験できます (Control-Alt-Hack(R))。	米国を中心に教育機関の教材やセキュリティイベントで配布・使用されました。大学の情報セキュリティ講座で学生の興味喚起に使われた事例があります。
Data Heist （データハイスト）	Mark Barnabas Lee（シンガポール）	個人情報保護、サイバー衛生（データ流出手口の理解）	カードゲーム	シンガポール	英語	有料（約 £48）	世界初の「サイバー衛生」を扱うカードゲームと称し、プレイヤーは新人ハッカーとなって市場の人々からデータをできるだけ多く“盗む”ことを競います (Data Heist – Fun & Exciting Way to Learn Cyber hygiene & Data Protection)。パスワード詐取・フィッシング・マルウェア拡散という現実で頻発する3種類の攻撃カードを駆使し、他のハッカー（プレイヤー）の妨害もしながら勝利を目指します (Data Heist – Fun & Exciting Way to Learn Cyber hygiene & Data Protection)。ゲームを通じてデータ漏えいの一般的な手口を体験し、日常で注意すべきポイント（サイバー衛生習慣）を楽しく学べるよう設計されています (Data Heist – Fun & Exciting Way to Learn Cyber hygiene & Data Protection) (Data Heist – Fun & Exciting Way to Learn Cyber hygiene & Data Protection)。	シンガポール発の教育ゲームで、教育者や企業研修担当者によるワークショップで利用報告があります。子供から社会人まで幅広く遊べるため、学校の授業や企業のセキュリティイベントで活用が検討されています (Data Heist – Fun & Exciting Way to Learn Cyber hygiene & Data Protection)。
Riskio	リスクIOプロジェクト（英・サウサンプトン大学）	サイバー攻撃と防御の基礎（リスク発見と対策学習）	ボードゲーム	英国	英語	無料（PDF配布）	3～5人用のボードゲームで、ゲームマスターの進行に従い参加者が架空組織の重要資産を攻防します (Shostack + Associates > Tabletop Security Games + Cards )。各プレイヤーは攻撃者または防御側の立場を取り、組織に対するサイバー攻撃カードと防御カードを出し合って被害を競います。非技術系の社員でも取り組めるよう設計されており、攻撃者視点・防御者視点の両方から組織の脆弱性と対策を学ぶことができます (Shostack + Associates > Tabletop Security Games + Cards )。プレイを通じて「自社のどこが狙われるか」「どの防御が有効か」を体感し、セキュリティ意識を高める狙いがあります。	大学の研究成果として公開され、Creative Commonsライセンスで無償提供されています。企業の社内研修でも、IT部門だけでなく一般従業員や経営層を交えてリスクコミュニケーションを図る用途で利用可能とされています (Riskio)。
OWASP Cornucopia （コルヌコピア）	OWASP財団	アプリケーションのセキュリティ要件洗い出し	カードゲーム	米国（グローバル）	英語（※多言語展開）	無料（PDF配布）	ソフトウェア開発チーム向けのカードゲームで、Webアプリケーションに潜む脅威や不正ケースを議論するために作られました (Shostack + Associates > Tabletop Security Games + Cards )。攻撃手法カテゴリごとのカードを引き、その内容（例：「入力検証抜けによるSQLインジェクション」等）を基に「この状況で必要なセキュリティ対策は？」とチームで検討します。アジャイル開発でセキュリティユーザーストーリーを洗い出す手法として有効であり、プラットフォームや言語に依存せず利用できます (Shostack + Associates > Tabletop Security Games + Cards )。	OWASPが無償公開しており、開発者向けトレーニングやセキュリティ要求定義のワークショップで世界的に使用されています (Shostack + Associates > Tabletop Security Games + Cards )。日本企業でもソフト開発プロジェクトのセキュリティレビューに取り入れた例があります。

デジタル形式のゲームコンテンツ

続いて、PCやモバイル上で動作するゲーム形式の学習コンテンツです。オンラインシミュレーションやクイズ形式のゲームを通じて、場所を問わずサイバーセキュリティの知識・スキルを体験的に習得できます。

ゲーム名	提供元（企業・団体）	セキュリティテーマ	ゲーム形式	提供国	対応言語	費用	概要	利用実績・導入例
標的型サイバー攻撃 対応シミュレーションゲーム	トレンドマイクロ	標的型攻撃への意思決定・インシデント対応訓練	オンラインシミュレーション（動画・選択式）	日本	日本語・英語	無料（Web公開）	サイバー攻撃を受けた際の経営判断を疑似体験できる対話型教材です。ユーザーは架空企業のCIO等になりきり、動画で提示される標的型攻撃シナリオに対して予算配分や対策行動を選択していきます (8 Online Cybersecurity Games that Test Your Cyber Skills)。約20分でインシデント対応時の正しい判断プロセスや有効な対策ポイントを学べる内容で、企業の経営層や事故対応チームがゲーム感覚でトレーニングできます (トレンドマイクロ、標的型サイバー攻撃発生時の対応方法をゲーム ...)。日本語版と英語版が公開されており、ウェブ上で誰でもプレイ可能です。	2016年にトレンドマイクロ社が企業上層部・インシデント対応担当者向けに無償提供開始 (トレンドマイクロ、標的型サイバー攻撃発生時の対応方法をゲーム ...)。公開後、多くの企業が経営層研修やCSIRT演習に活用しました。例えば〇〇社では役員研修で本ゲームを導入し、攻撃対応の重要性を疑似体験させています。
Cybersecurity Lab （PBSサイバーセキュリティLab）	米PBS放送（Nova Labs）	パスワード・暗号解読、ネットワーク防御全般	ブラウザゲーム（シミュレーション＋パズル）	米国	英語	無料	プレイヤーはSNS企業のCTOとなり、次々発生するサイバー攻撃に対処します (8 Online Cybersecurity Games that Test Your Cyber Skills)。ゲーム内では社員の安全なパスワード設定を支援したり、コード解析でマルウェアを検知したりといったチャレンジが含まれ、レベルが進むごとに攻撃が高度化していきます (8 Online Cybersecurity Games that Test Your Cyber Skills)。ミニゲーム形式でパスワード強度や暗号の基礎、ネットワーク防御の考え方を学べる教育コンテンツです。	アメリカの公共放送PBSが提供しており、学生から社会人まで幅広く利用されています。学校の情報科教材や企業の新人研修用eラーニング教材として活用された例があります。
Cyber Awareness Challenge	米国国防総省（DoD）	総合的な情報セキュリティ遵守（フィッシング・物理セキュリティ等）	Webアプリ（シナリオADV）	米国	英語	無料	米国防総省が開発したインタラクティブ教材で、2030年の未来からのメッセージという設定で過去のセキュリティ事件を未然に防ぐミッションに挑みます (8 Online Cybersecurity Games that Test Your Cyber Skills)。ユーザーは各ケースで証拠を調べ、適切な対処を選択することで組織の脅威レベルを下げて未来を良い方向に変えることが目的です (8 Online Cybersecurity Games that Test Your Cyber Skills)。ゲーム仕立てのストーリーを通じて、フィッシング対処・機密情報の取り扱い・物理的なセキュリティ確認など包括的なセキュリティ習慣を身につけられるよう設計されています。	米軍内での全員必須トレーニングとして広範囲に実施されており、一般向けにも公開されています。米政府関連機関や防衛産業企業では、このチャレンジを社員教育に取り入れ、遵守意識向上に役立てています。
Keep Tradition Secure	テキサスA&M大学IT部門	クイズで学ぶ情報セキュリティ全般（キャンパス内の脅威探索）	ブラウザゲーム（クイズRPG）	米国	英語	無料	米国テキサスA&M大学がサイバーセキュリティ啓発月間向けに制作したゲームシリーズの一つです (8 Online Cybersecurity Games that Test Your Cyber Skills)。プレイヤーは大学伝統行事を守るために「Bad Bull」と名乗るハッカーを追跡し、キャンパス内を移動しながらサイバーセキュリティに関する質問に答えていきます (8 Online Cybersecurity Games that Test Your Cyber Skills)。正解すると次の場所へ進み、全ての質問に答えると犯人を突き止められます。ゲームを通してフィッシングメールの見分け方など様々な知識を楽しく復習できます。	大学内イベントとして公開され、学生・職員の参加型啓発に利用されました。2010年以降毎年新作が公開され、他大学や教育団体でも同様の啓発クイズゲーム作成のモデルとなっています (8 Online Cybersecurity Games that Test Your Cyber Skills)。
Traveling Securely （安全な旅）	Terranova Security（現Fortra社）	モバイル・出張時のセキュリティ（持ち出し機器の安全管理）	ブラウザゲーム（探索型）	カナダ	英語・仏語ほか	無料公開（一部）	国際的なセキュリティ啓発企業Terranovaが提供する短時間ゲームで、空港を舞台に旅行中の従業員に潜む脅威を見つけ出す内容です (8 Online Cybersecurity Games that Test Your Cyber Skills)。制限時間3分以内に、空港内で不審な人物や情報漏洩のリスクになりそうな行動を複数見つけるとクリアとなります (8 Online Cybersecurity Games that Test Your Cyber Skills)。ゲーム感覚でモバイル端末や書類の取り扱い、公共Wi-Fiの危険など旅行時特有のセキュリティポイントを学べます。	セキュリティ意識向上サービスの一環として提供され、多くの企業が社員研修に利用しています。特に海外出張者向けトレーニングで、本ゲームを前提知識のチェックやディスカッションの導入に活用する例があります。
Brute Force （ブルートフォース）	Education Arcade Ltd.	パスワードの強度・管理（パスフレーズ習得）	ブラウザゲーム（2D探索）	ニュージーランド	英語	無料（一般公開）	パスワードの作り方を楽しく学べるミニゲームです (8 Online Cybersecurity Games that Test Your Cyber Skills)。プレイヤーはキャラクターを操作してマップ上のパスワードヒントを3つ集め、自分のパスワードを強化してハッカーとの攻防に挑みます ([BRUTE FORCE a password protection game	Education Arcade](https://www.educationarcade.co.nz/bruteforce))。パスワードを長く複雑にする「パスフレーズ」化のコツを自然に覚えられる内容で、ヒント収集→パスワード強化→次のレベルへと繰り返し、段階的に強固なパスフレーズの重要性を学習できます (8 Online Cybersecurity Games that Test Your Cyber Skills)。
Who is the Risk? （内部脅威は誰だ）	アメリカ国防省 防諜安全センター（CDSE）	内部脅威の発見・リスク評価	ブラウザゲーム（Q&A推理）	米国	英語	無料	米国防諜・セキュリティ教育センターが提供する内部脅威対策ゲームです。複数のキャラクターの中から内部犯行のリスクが高い人物を見抜くのが目的で、プレイヤーは各人物に質問を投げかけていきます (8 Online Cybersecurity Games that Test Your Cyber Skills)。回答から得られる手がかり（挙動や発言のリスク指標）をもとに、最も危険度の高い内部関与者を推理します (8 Online Cybersecurity Games that Test Your Cyber Skills)。ゲームを通じて内部脅威を示す兆候や不審な行動パターンについて学ぶことができます。	米政府機関での内部脅威トレーニング用に開発され、一般にも公開されています。多くの企業が従業員の内部不正検知トレーニングに取り入れており、遊びながら内部犯行のサインを学べると好評です。
Kaspersky Interactive Protection Simulation (KIPS)	カスペルスキー	サイバー危機対応シミュレーション（経営戦略とサイバー防衛）	チーム演習ゲーム（ターン制）	ロシア（グローバル）	英語ほか多言語	要問い合わせ（有償サービス）	カスペルスキー社が提供する2時間程度の戦略シミュレーション型ゲーム演習です。参加者は4～6名のチームで架空企業の経営陣・セキュリティ担当となり、次々と発生するサイバーインシデントに対して限られた予算と施策から最適な対応を選択していきます。各チームの対応判断により企業の収益や被害が刻々と変化し、最終的な業績を競います。ゲームを通じてサイバー攻撃が事業に与える影響を実感し、経営層と技術部門の協力の重要性や効果的なセキュリティ投資バランスについて学べます。	世界各国の企業や政府機関でサイバー演習プログラムとして実施実績があります。特に経営幹部向け研修として人気が高く、欧米や日本でも多くの企業がこのシミュレーションを採用し、セキュリティ意識向上とチーム強化に役立てています。
ThreatGEN: Red vs. Blue	ThreatGEN社	ネットワーク攻防戦の戦略体験（レッドチーム vs ブルーチーム）	PCゲーム（ターン制ストラテジー）	米国	英語	有料（約$15）	サイバー攻撃側と防御側の視点で対戦できるゲーム型シミュレーションです。プレイヤーはハッカー（Red）またはセキュリティエンジニア（Blue）となり、ターンごとに攻撃手法の実行や防御措置の配置を行います。シングルプレイでAIと対戦したり、オンラインで他のプレイヤーと競うことも可能です (ThreatGEN: Red vs. Blue on Steam)。実在の攻撃戦術や防御策が多数組み込まれており、遊びながら網羅的にサイバー攻防の戦略立案と意思決定スキルを養えます (ThreatGEN: Red vs. Blue on Steam)。初心者が学習目的で遊ぶことも、熟練者が腕試しすることもできる設計です。	世界中のセキュリティ愛好家やITプロフェッショナルに利用されており、レビューでも教育的価値が高いと評価されています (ThreatGEN: Red vs. Blue on Steam)。企業のセキュリティチーム研修で大会形式で実施した例や、専門学校の教材として採用されたケースもあります。

参考

https://blogs.jpcert.or.jp/en/2017/03/board-game-on-cyber-security-for-awareness-raising.html
https://spearphish-general-store.myshopify.com/products/backdoors-breaches-core-deck

所感

• キャット＆チョコレート　ランサムウェア攻撃対処編 も加えておこう

https://www.jc3.or.jp/news/2025/20250319-616.html

• そういえばCyber Attack Placementも無いな

https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/cyber-attacker-placement.html

• ゲームじゃないけど机上演習キットも

https://www.ipa.go.jp/security/sec-tools/ttx.html