セキュリティ教育で大失敗、改善策は？

企業に対するサイバー攻撃の一部はさまざまなセキュリティ製品で防ぐことが可能だ。だが、従業員が不適切な行動を取れば容易に突破されてしまう。従業員教育が重要なのだ。なぜ従業員教育は効果を発揮していないのだろうか。

[Sue Poremba，Cybersecurity Dive]

　企業セキュリティの「防壁」は従業員教育にある。ビジネスメール詐欺はもちろん、さまざまな場面で従業員が間違った判断を下すと、サイバー攻撃者の餌食になってしまうからだ。

　だが、従業員教育は難しい。マンネリ化しやすく、従業員の心に響かない。すると従業員の行動を変えることができなくなる。どうすればよいのだろうか。

従業員の行動を変えるセキュリティ教育とは

　常に変化するサイバー脅威に対応するため、セキュリティツールやプラットフォームは定期的に更新されていく。だが、「セキュリティ啓発トレーニング」の内容は何も変わっていない。

　「従業員がセキュリティチームと交流する最初の、そして唯一の機会はトレーニングだということが多い」と、Atlassianのマリサ・フェイガン氏（信頼文化とトレーニングの責任者）は言う。セキュリティチームにとって、トレーニングは従業員を教育する良い機会だ。だが、それだけではない。従業員を興奮させるポジティブな体験を作り出す機会であり、インシデントの迅速な解決やセキュリティに影響を与えるミスの減少など、大きな見返りを後々もたらす可能性がある。

　ここまでの話が成り立つ企業はほとんど存在しないだろう。実際の職場では、セキュリティ啓発トレーニングが本来の目的に合致していない。

　2022年9月下旬に開催された「Insider Risk Summit」でフェイガン氏は次のように説明した。

　「従来の啓発トレーニングは成果に焦点を当てておらず、面白くない上に魅力的でもない。最悪の場合、誰も実際にセキュリティに関心を持つように説得できていない」

　従来のセキュリティトレーニングのアプローチがうまくいっていないのは、驚くことではない。

　Accentureのメアリー・ジオルニー氏（サイバー戦略マネジャー）は「過去5〜10年のデータを見ると、企業のリスクを大幅に低減するアプローチは全く進んでいない」と述べた。

従来のセキュリティ啓発トレーニングに欠けているものは

　セキュリティ啓発トレーニングが停滞している一因は、さまざまなセキュリティ対策の中で過小評価されているからだ。もちろん資金も不足している。

　SANS Instituteの調査（注1）によれば、セキュリティ教育担当者は、仕事の時間のほとんどを他のプロジェクトに費やしている。さらに啓発トレーニングの担当者が不適切だ。高い技術力を持つ担当者に任せてはいるものの、同僚を巻き込むために必要なソフトスキルを持ち合わせていない可能性もある。

　啓発トレーニングチームの人員が不足している場合もある。多くの企業では、トレーニングプログラムの担当者は1人または存在しない。成熟したトレーニングプログラムやセキュリティ体制を持つ企業となるには、啓発トレーニングの担当者が4人以上必要だ。

　十分な人数、あるいは適切な人材がいないことが、セキュリティ啓発トレーニングの内容が的外れになっている理由なのかもしれない。

　「根本的にこの業界は、成人学習のベストプラクティスの現実と、企業がビジネスを運営するために必要な方法、つまり効率的かつ効果的な方法を結び付けることに苦労している」とジオルニー氏は語る。

　今日のセキュリティトレーニングは、企業がコンプライアンス規制を確実に満たす方法や従業員の生産性を向上させる方法など、特定の分野に重点を置く傾向がある。逆に従業員のエンゲージメントや従業員の仕事に対する満足度の向上などをスキップしている。

　Immersive Labsのマックス・ベッター氏（コンテンツ担当バイスプレジデント）は、次のように述べた。

　「時代遅れの机上演習ではなく、より実践的な学習とスキルアップが必要だ。セキュリティチームが適切でタイムリーな演習やシミュレーションを実行すれば、新しい脅威が発生したとしても数時間以内に企業のパフォーマンスを確認できる。自らの能力を証明して最新の状態を維持できるようになる」

行動を通じた啓発トレーニングの見直し

　サイバー攻撃がより巧妙になるにつれ、従業員は防御の第一線としてより積極的な役割を担う必要が出てきた。つまり、現在の予算と人員の制約の中で、より効果的なセキュリティの啓発トレーニングを実施する必要がある。

　そのためには、トレーニングをより魅力的なものにあらためて、人の行動を変える方法を検討しなければならない。

　まず何を変えるか。一つは「啓発（意識）」という言葉をなくすか、強調しないようにすることだ。

　「啓発トレーニング」と言うだけで、従業員が自動的に全てのセキュリティの問題を認識して問題を解決する、と考えてしまうからだ。

　CYEのアイラ・ウィンクラー氏（フィールドCISO《最高情報セキュリティ責任者》兼バイスプレジデント）は、そううまくはいかないと述べた。

　意識を高めることよりも、いかにして行動を変えるかに重点を置くべきだ。行動科学に従えば、報酬制度やユーザーエクスペリエンスの改善、ガイドラインの制定などを実施するとよい。

　「トレーニング目標はセキュリティ関連の行動を測定可能な形で改善することだ。これは啓発という概念とは大きく異なる」とウィンクラー氏は指摘する。

　ウィンクラ―氏の主張に沿った形でトレーニングを改善する一つの方法は、間違いを探して罰するのではなく、セキュリティ上優れた行動を取った従業員を実際に見つけ出して報いることだ。例えば、従業員がセキュリティトレーニングを受けたり、フィッシングメールを報告したり、多要素認証を定期的に使用したりした場合に称賛する。

　これらの行動に対する報奨はさまざまだろう。重要なのは、良い行動を促すシステムを持つことだ。

トレーニングとしてのストーリーテリングとは

　もう一つの行動トレーニング法は、ストーリーテリングを用いることだ。

　「ストーリーテリングは、行動科学に根ざした実績ある教育方法だというだけでなく、エンターテインメント性も備えている」とフェイガン氏は言う。

　教育することと楽しませることを同時に満たす必要がある。なぜならセキュリティに関する概念を従業員の心に定着させるために必要だからだ。目的はセキュリティを高める行動を習慣化することだ。そのためには、ポップカルチャーのような形でトレーニングする必要がある。

　「最も成功しているセキュリティトレーニングのコンテンツ制作者は現在、インタラクティブな要素を含む数話にわたる登場人物の物語を伝えるような、リッチで魅力的で高精細な動画を提供している」とフェイガン氏は語る。

　人気テレビ番組やNFL（National Football League）の試合を参考にすべきだ。セキュリティトレーニングの動画が目指すのは、職場内の「雑談」を誘発するものだ。

　「この方法を用いた結果、最初にトレーニングを受けた同僚が話していることを理解したいというだけで、例年よりも多くの人々が第二波となってトレーニングを視聴している」とフェイガン氏は話す。

　セキュリティは分散型ビジネスの問題であり、毎年行われる「フィッシングメールの見分け方」を扱うようなトレーニングから脱却して、従業員がセキュリティを日常の業務行動に取り込むサポートを強化する時期に来ているのだ。

　「経営者から技術チームに至るまで、現実的な演習を使用して、現実世界のパフォーマンス測定の新しいレベルに至る必要がある」（ベッター氏）

出典：Security awareness training needs a revamp（Cybersecurity Dive）

注1：2022 SANS Security Awareness Report