Day 2 従来のやり方では限界
Day 2 従来のやり方では限界
セキュリティ研修や意識啓発では、なぜ人は変わらないのか?
~"人間中心"の視点でその壁を見つめる~
従来の"人間強化"では間に合わない
「意識を高める」だけでは防げない理由
なぜ人は同じミスを繰り返すのか
長年にわたり、私は人間のサイバーセキュリティ防御を強化するため、数多くのアプローチを試してきた。従来の「人間強化」は、一般的にセキュリティ意識向上トレーニング、ソーシャルエンジニアリング演習(主にフィッシングシミュレーション)、そして様々なセキュリティキャンペーンで構成される。例えば10月はセキュリティ月間であるため、色々なセキュリティの催しをして啓蒙活動をする。
私はセキュリティ意識向上トレーニングを短く印象的なものにすることに注力した。人々は長い学校の講義よりも、心を揺さぶる映画や印象深いスピーチからの情報をはるかによく記憶に留めるという理由からだ。フィッシングシミュレーションは可能な限りリアルに設計し、従業員の判断と行動を真に試すシナリオを作り上げた。セキュリティキャンペーンはゲーム化し、エンゲージメントと参加率を高めた。
さらに、経営陣からの投資とスポンサーシップを確保するため、すべてを測定可能で定量化可能なものにした。行動変容を追跡し、人的リスク要因を可視化するための指標を開発したのだ。
これらの取り組みは目に見える成果を示し、ある程度は機能した。
しかし、私は満足できなかった。
測定可能な改善にもかかわらず、このアプローチには何か根本的なものが欠けていた。
ここに欠けているものは何なのか?
私は考え続けた。
※本コラムは、サイバーセキュリティにおける人間要素の限界と、新たなアプローチの必要性を問いかけるシリーズの第2回です。
-----------
Conventional Human Hardening
Over the years, I experimented with numerous approaches to strengthen human cybersecurity defenses. Conventional human hardening typically consists of security awareness training, social engineering exercises (primarily phishing simulations), and various security campaigns.
I focused on making security awareness training short and memorable, reasoning that people retain information from compelling movies and impactful speeches far better than lengthy school lectures. I designed phishing simulations to be as realistic as possible, creating scenarios that truly tested employees' decisions and actions. Security campaigns were gamified to increase engagement and participation.
In addition, to secure investment and sponsorship from senior management, I made everything measurable and quantifiable--developing metrics to track behavioral changes and visualize human risk factors. These efforts showed tangible results, and, to some extent, they worked.
But I remained unsatisfied. Despite the measurable improvements, something fundamental was missing from this approach.
What is missing here?
I kept wondering.
To be continued