「怖がらせる」は逆効果？ 研究が明かす、本当に効くセキュリティ教育【後編】

企業は長年にわたり、フィッシング対策の訓練や教育用のウェビナーといった取り組みを中心にセキュリティ戦略を組み立ててきた。しかし調査によれば、これらの手法は効果が乏しいことが明らかになった。

[Eric Geller，Cybersecurity Dive]

　前編に続き、セキュリティの意識向上を目的としたトレーニングがうまく効果を発揮しない理由と改善策を紹介する。

「怖がらせる」は逆効果？　研究が明かす、本当に効くセキュリティ教育

　たとえトレーニングによってフィッシング攻撃を見抜く能力が向上したように見えても、その効果は長くは続かなかった。

　オーストラリアのアデレード大学の研究チームは、フィッシング意識向上トレーニングプログラムに関する数十の研究をレビューした2023年の報告書で、「プログラムが持続的な行動変容を促すという成功の証拠は限定的だ」と結論付けた。

　2020年の会議で発表された別の研究によると、被験者はトレーニング直後と4カ月後の時点では、本物のメールと詐欺メールを見分ける能力が有意に高かったものの、6カ月後にはその改善効果は消失していた。

　「われわれの習慣は、受け取る『ナッジ（行動を促す小さなきっかけ）』よりも強力だ」とヴィシュワナス氏は述べ、リスクに関する先入観は、一時的なトレーニング教材よりも強い「慣性（現状維持の力）」を持っていると付け加えた。

知識だけでは不十分だった

　効果的なセキュリティ意識向上トレーニングに対する最大の障壁の一つは、知識を行動に転換することの難しさだ。トレーニングセッションでフィッシング攻撃の見分け方を教えても、実際の攻撃から人々を守ることができない場合がある。人間の行動は知識、態度、インセンティブが複雑に絡み合ったものであり、多くのトレーニングプログラムは、なぜ人々がそのように振る舞うのかという根本を認識できていない。

　オランダのライデン大学の研究者らは、69の研究を対象とした2024年のメタ分析で、「トレーニングは態度や知識といったエンドユーザーの行動予測因子を有意に増加させるが、実際の行動の変化はごくわずかしか観察されない」と記した。

　「われわれは行動の前段階（予測因子）を変えることには非常に長けてきたが、セキュリティの確保に必要な『実際の行動』を変えることには成功していない」と、このメタ分析や最近のサイバーセキュリティトレーニング研究の共著者ライデン大学の博士候補生のユリア・プリュマー氏は述べた。

　オックスフォード大学の研究者も、2019年の論文で同様の結論に達した。

　「知識と意識は行動を変えるための前提条件だが、必ずしも十分条件ではない。だからこそ、他の影響力のある戦略と組み合わせて実施する必要がある」と記した。「質問に正しく答えられるからといって、その個人が意識向上プログラムで得た知識に従って行動する意欲があるとは限らない」

　2024年のチューリッヒ工科大学の研究では、フィッシング攻撃の危険性やブロックの重要性を思い出させる定期的な「ナッジ」こそが、トレーニングの効果を高める主な要因だということが分かった。その一方で、トレーニングモジュールのコンテンツそのものについては、「最もだまされやすい参加者」でさえ役に立たないと評した。

　同研究の共著者で上級研究員のカリ・コスティアイネン氏は、ナッジとコンテンツに関するこの発見を受けて、組織は「フィッシング防御全体を再考すべき」だと述べた。

　「テストやだます側面に重点を置くのではなく、リマインダーや報告に重点を置くべきだ」

「作られた」環境への批判とは

　長年にわたる多数の研究で、セキュリティ意識向上トレーニングが人々のセキュリティ習慣を改善することが示されてきたが、方法論的な問題があるため、これらの結果は当初見られたほど意味のあるものではない可能性がある。

　フィッシング攻撃についてのトレーニングに関する多くの研究は、ボランティアが研究室でテストを受ける形で実行される。参加者がトレーニング教材に熱心に取り組み、フィッシングの危険性を警戒しているこのような環境は、非現実的に「トレーニングの有効性について肯定的な結果」を生む可能性があると、シカゴ大学とカリフォルニア大学サンディエゴ校の研究者らは最近の論文で指摘した。彼らの調査結果によれば、「実際の環境で埋め込み型トレーニングに取り組むユーザーはごくわずか」だった。

　オーストラリアの研究者たちも、「自然な条件下でプログラムが持続的な行動変容を促す成功について、真の洞察を提供しない」「作られた実験条件下」での研究の価値は限定的だと強調した。

　有望な結果を示した研究の一部でも、その限界を認めている。フィッシング啓発ビデオの有効性に関する2008年の論文で、ドイツとスコットランドの研究チームは、参加者がセキュリティに集中するよう事前準備（プライミング）されていたため、そのパフォーマンスは「間違いなく『ベストケース』のシナリオと見なすべきだ」と指摘した。「現実世界での実際の検知率は、おそらくもっと低いだろう」と研究者は記した。

　ライデン大学チームによる2024年の文献レビューによると、フィッシング攻撃の訓練についての研究には他にも方法論的な限界がある。サンプルサイズが小さい研究や、だまされやすさを確実に判断するにはテスト回数が不十分な研究もあった。また、スキルを評価する前に1回のトレーニングセッションしか提供しなかった研究もあった。

　文献レビューの著者らによると、場合によっては研究者が誤った指標に焦点を当てていたこともある。「成果測定はサイバーセキュリティ行動そのものではなく、行動意図、態度の変化、認識などの指標に焦点を当てていることが多かった」と記した。「多くの行動理論はこれらの要因を行動変容の予測因子としているが、この関連性はしばしば弱いものだ」

根本原因の理解と習慣の形成が必要だ

　現在の学術的なコンセンサスは、「一般的に展開されているトレーニング形態は、保護的な利益が小さい、あるいは最小限だ」というものだと、シカゴ大学の研究者であるホー氏は述べた。そして、トレーニングプログラムを改善するには、その設計、提供、評価の方法を大幅に変更する必要がある。

　オックスフォード大学の研究者らは、フィッシング攻撃への訓練は、実証済みの説得戦略を使い、逆効果となる戦略を避けることで、行動を変えることに焦点を当てるべきだと述べた。推奨事項は以下の通りだ。

・人々を怖がらせたり恥をかかせたりすることは「効果的な戦術ではない」
・教育コンテンツは「ターゲットを絞り、実行可能で、達成可能なもの」であるべきだ
・組織はユーザーが良い習慣を形成できるよう「継続的なフィードバック」を提供すべきだ

　組織は人々のセキュリティに対する態度を形成するトレーニングを優先すべきであり、それが彼らのモチベーション、ひいては行動に影響を与えると研究者らは述べた。

　フィッシングへの感受性に影響を与える人間の衝動を分類するモデルを作成したヴィシュワナス氏は、現在の意識向上トレーニングは行動科学を無視し、容易に拡張可能な画一的（ワンサイズ・フィット・オール）な知識伝達を優先していると主張した。

　「これらのプログラムのどれも、習慣の修正には取り組んでいない。また、それらはセキュリティの脅威に関する誤解にも対処できていない。自分の行動に伴うリスクについて何を信じているかが非常に重要だ。セキュリティ意識向上プログラムのどれも、これに対処していない」

　プリュマー氏も同意した。「埋め込み型トレーニングは、なぜ人がフィッシングメールに引っかかるのかという根本原因を見ていないことが多い。修正を試みる前に、まず何がオンラインでの被害拡大につながるのかを理解する必要がある」

　結局のところ、ユーザーは懸念すべき多様な行動を示すため、全ての組織や状況に対応できる単一のトレーニング体制は存在しない。「対処しようとしている個々のサイバーセキュリティ行動に適したトレーニング方法を見つける必要がある」とライデン大学の研究チームは論じた。

　今後についてヴィシュワナス氏は、多くの企業が使用を義務付けられているプログラムを批判することよりも、欠陥のあるトレーニングを修正することに研究の重点を置くべきだと述べた。

　現状では、意識が劇的に向上しているにもかかわらず、侵害被害は急増しており、企業や政府機関は依然として脆弱なままだ。

　「サイバーレジリエンス（回復力）に関して、（意識向上キャンペーンの）以前よりも進歩しているとは思わない」とヴィシュワナス氏は言う。「われわれは何か対策を施しているような気になっている。そのために多額のコストも費やしてきた。しかし、状況は良くなっただろうか。私はそうは思わない」

原文へのリンク