「怖がらせる」は逆効果? 研究が明かす、本当に効くセキュリティ教育【前編】
企業は長年にわたり、フィッシング対策の訓練や教育用のウェビナーといった取り組みを中心にセキュリティ戦略を組み立ててきた。しかし調査によれば、これらの手法は効果が乏しいことが明らかになった。
企業や政府機関などは数十年にわたり、従業員にセキュリティとレーニングを施してきた。不審なリンクをクリックしたり、信頼できないファイルをダウンロードしたりしないようにする訓練だ。しかし最近の証拠によると、このようなトレーニングにはほとんど効果がなく、むしろ逆効果だという可能性すらあるという。
「怖がらせる」は逆効果? 研究が明かす、本当に効くセキュリティ教育
フィッシングのシミュレーションやウェビナーなど、サイバーセキュリティ教育は幅広い。なぜなら、従業員がデジタル脅威を識別したり、遮断できるようにする必要があるからだ。セキュリティ業界は「人間が最も脆弱鎖の環だ」と繰り返し発言してきた。これは正しい。その解決策がトレーニングだ。しかし、現在提供されている多くのトレーニングは実際には期待された効果を上げていないという。
このようなトレーニングにどのような効果があるのかを検証した研究や分析は数多い。
2008年以降に発表された10件以上の研究とメタ分析を『Cybersecurity Dive』が検証したところ、トレーニングが採用している一般的な手法は、フィッシング攻撃に引っかかる可能性を大幅に低下させることはなかった。場合によってはむしろ攻撃を受けやすくしていた。
これらの研究は、トレーニングの価値に疑問を投げかけることはもちろん、テストにうまく回答できなかった人々に提供される追加のトレーニングも批判している。
人間の行動を研究するサイバーセキュリティ研究者であり、コンサルタントとしても活躍するアルン・ヴィシュワナス氏は次のように語った。
「現在のセキュリティ意識向上のためのトレーニングは解決策になっていない。私が頻繁に用いる例え話を紹介しよう。医者のところに出向くと、医者は患者に薬を出す。これが意識向上のためのトレーニングだ。しかし患者の症状は改善せず、医者のもとを再び訪れると、同じ薬がさらに処方される。そして最終的には、症状が改善しないのは患者のせいだと責任を押し付けられるのだ」
トレーニングのメニューのどこが良くないのか
サイバーセキュリティ研修を提供する組織の大半は、次の2つの方法のいずれか、あるいは両方をメニュー化している。
一つは、定期的な評価だ。これは年次または月次で実施されることが多い。もう一つは、ユーザーがフィッシングテストに失敗した後に表示される埋め込み型のトレーニング(テストに失敗した瞬間に、画面にポップアップが表示されて始まるトレーニング)だ。
しかし最近の研究では、定番とされている2つの手法の効果そのものに対して疑問が呈されている。
シカゴ大学とカリフォルニア大学サンディエゴ校の研究チームは、2025年の夏に複数の学会で発表して、広く議論を呼んだ論文の中で「セキュリティ意識向上のための年次トレーニングが、フィッシング攻撃の失敗率の低下と相関するという証拠は見付からなかった」と結論付けた(注1)。当初、研究者は直近にトレーニングを受けた人ほどフィッシングテストで良い成績を出すだろうと予想していた。しかし実際には、トレーニングを受けた時期とテストの成績の間に関連性は確認されなかった(注2)。
シカゴ大学コンピュータサイエンス学科の助教授であり、この研究の共著者のグラント・ホー氏は「年次の意識向上トレーニングは、ユーザーに有意義な知識や教育を提供していない」と述べた。
ホー氏と共同研究者たちは、論文で次のように記した。「サイバーセキュリティ業界は、現在提供しているトレーニングが本当に有益なセキュリティ効果をもたらしているのかどうか、改めて検証すべきだ」
誰でも必ず引っかかることを前提にする
回答に失敗した人々に補習として提供されるレッスンの割り当て方法にも同様に深刻な問題がある。
まず、補習レッスンはテストに失敗した人にしか表示されない。つまり、将来的にフィッシングに引っかかる可能性がある人であっても、テストにたまたま合格した場合はレッスンから除外されてしまう。ホー氏と共同研究者は次のように記した。
「この設計は、今回のフィッシングに引っかからなかったユーザーは、今後の攻撃から身を守るためのトレーニングを受ける必要がないという前提の上に成り立っている。われわれの研究結果によると、十分な時間が与えられれば、組織内の大多数のユーザーは最終的にテスト用のフィッシング攻撃に引っかかってしまう」
研究者によると、失敗したユーザーにのみ表示される補習レッスンは、本来必要な全ての人に行き渡らないため、教育の手段として非効率的だという。
他の研究では、テストに失敗したユーザーに対して、次のテストに合格するために必要な情報を直ちに提示することに意味があるのかという疑問が呈された。2024年末に発表された研究で(注3)、スイス連邦工科大学チューリッヒ校の研究者はフィッシングに引っかかった翌日に、従業員に訓練だということを知らせ、関連する学習資料を案内するだけで、即時に提供される補習レッスンと同程度の効果があることを発見した。言い換えれば、失敗した直後に本人をその場で指導する必要はない。
かえって引っかかりやすくなってしまう
2021年、チューリッヒ校の研究者は埋め込み型トレーニングに関する研究から、さらに懸念すべき結果を報告した(注4)。この手法は従業員のフィッシング耐性を高めるために役立たないだけでなく、従業員をフィッシング攻撃に対してさらに脆弱にする可能性があるというのだ。
研究者たちは、より新しい論文の中でこの発見をさらに詳しく説明している。埋め込み型トレーニングは、従業員に「自分はフィッシング攻撃を見抜けるはずだという能力への過信」や「フィッシングテストで失敗しても特に影響はないという誤った安心感」を与えてしまう可能性があるのだ。埋め込み型トレーニングは誤解や過信を生み出しかねないため、企業はこの手法を導入する際に慎重になるべきだと研究者は述べた。
フィッシング攻撃の被害に遭うリスクが最も高い人々に対して、強制的なトレーニングが効果的な対策になっていないことも研究が示唆している。
スイス連邦工科大学チューリッヒ校が2024年に実施した研究において、研究者たちはフィッシングテストの参加者を2つのグループに分けた。そのうち1つのグループには「2回失敗すると強制的にトレーニングを受けてもらう」と事前に警告した。しかし、研究者たちが確認したところ、2つのグループの成績には統計的に有意な差は見られなかった。このことから研究チームは次のように結論付けた。
「最もフィッシングに引っかかりやすい参加者にとって、強制トレーニングは追加の効果をもたらさなかった」
ハーバード大学と、その関連医療システムの研究者も2019年の研究で同様の結果を確認した(注5)。チームは匿名の医療機関に所属する5400人以上の従業員に対して、合計20回のフィッシング訓練を実施した。そして15回目のキャンペーン以降、少なくとも5回フィッシングメールに引っかかった人には、強制トレーニングを受けてもらうようにした。しかし、強制トレーニングはクリック率に顕著な改善をもたらさなかった上に、トレーニングを受けた従業員も依然としてフィッシングの模擬攻撃をクリックする可能性が高いままだったという。
後編では、トレーニングの効果はどの程度続くのか、トレーニングで得られた知識でどこまで対処できるのか、そもそもトレーニングの効果をうまく測定できているのかを示す。最後にトレーニングをどのように改善すれば効果を最大化できるのかを紹介する。
出典:Why security awareness training doesn’t work - and how to fix it(Cybersecurity Dive)
注1:Cybersecurity Training Programs Don’t Prevent Employees from Falling for Phishing Scams(UC SAN DIEGO TODAY)
注2:Understanding the Efficacy of Phishing Training in Practice(uchicago.edu)
注3:Content, Nudges and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training(arxiv)
注4:Phishing in Organizations: Findings from a Large-Scale and Long-Term Study(arxiv)
注5:Evaluation of a mandatory phishing training program for high-risk employees at a US healthcare system(NIH)
© Industry Dive. All rights reserved.