Day 2 従来のやり方では限界 Go Beyond Conventional Human Hardening
[シリーズ構造] 柱A|基礎
本記事では、本シリーズ全体の出発点となる「基礎」を扱います。サイバーセキュリティを技術や対策の集合ではなく、人間の判断力を中心とした実践として捉え直し、Human Hardening と Cyber Judgment の考え方を提示します。
▶ シリーズ概要: シリーズ全体マップ:人間のしなやかさ ― サイバー判断力のために
▶ 柱A|基礎 関連記事:
Day 2 従来のやり方では限界
セキュリティ研修や意識啓発では、なぜ人は変わらないのか?
~"人間中心"の視点でその壁を見つめる~
従来の"人間強化"では間に合わない
「意識を高める」だけでは防げない理由
なぜ人は同じミスを繰り返すのか
長年にわたり、私は人間のサイバーセキュリティ防御を強化するため、数多くのアプローチを試してきた。従来の「人間強化」は、一般的にセキュリティ意識向上トレーニング、ソーシャルエンジニアリング演習(主にフィッシングシミュレーション)、そして様々なセキュリティキャンペーンで構成される。例えば10月はセキュリティ月間であるため、色々なセキュリティの催しをして啓蒙活動をする。
私はセキュリティ意識向上トレーニングを短く印象的なものにすることに注力した。人々は長い学校の講義よりも、心を揺さぶる映画や印象深いスピーチからの情報をはるかによく記憶に留めるという理由からだ。フィッシングシミュレーションは可能な限りリアルに設計し、従業員の判断と行動を真に試すシナリオを作り上げた。セキュリティキャンペーンはゲーム化し、エンゲージメントと参加率を高めた。
さらに、経営陣からの投資とスポンサーシップを確保するため、すべてを測定可能で定量化可能なものにした。行動変容を追跡し、人的リスク要因を可視化するための指標を開発したのだ。
これらの取り組みは目に見える成果を示し、ある程度は機能した。
しかし、私は満足できなかった。
測定可能な改善にもかかわらず、このアプローチには何か根本的なものが欠けていた。
ここに欠けているものは何なのか?
私は考え続けた。
※本コラムは、サイバーセキュリティにおける人間要素の限界と、新たなアプローチの必要性を問いかけるシリーズの第2回です。
-----------
[Series Structure] Pillar A | Foundations
This article establishes the foundation of the series. It reframes cybersecurity not as a collection of tools or controls, but as a human-centered practice grounded in judgment. It introduces the core ideas of Human Hardening and Cyber Judgment that underpin everything that follows.
▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment
▶ Other posts in Pillar A (Foundations):
- Day 1 | What Does It Mean to Become "Harder to Hack"?
- Day 2 | Why Conventional Approaches Hit a Wall
Conventional Human Hardening
Over the years, I experimented with numerous approaches to strengthen human cybersecurity defenses. Conventional human hardening typically consists of security awareness training, social engineering exercises (primarily phishing simulations), and various security campaigns.
I focused on making security awareness training short and memorable, reasoning that people retain information from compelling movies and impactful speeches far better than lengthy school lectures. I designed phishing simulations to be as realistic as possible, creating scenarios that truly tested employees' decisions and actions. Security campaigns were gamified to increase engagement and participation.
In addition, to secure investment and sponsorship from senior management, I made everything measurable and quantifiable--developing metrics to track behavioral changes and visualize human risk factors. These efforts showed tangible results, and, to some extent, they worked.
But I remained unsatisfied. Despite the measurable improvements, something fundamental was missing from this approach.
What is missing here?
I kept wondering.
To be continued