Day 60 セキュリティトレーニングが失敗する理由 Why Security Training Fails
Day 60 セキュリティトレーニングが失敗する理由
知ることと理解することの間にあるギャップ
以前、IT エンジニアからセキュリティに転身したばかりの同僚を指導することになった。彼は真剣な顔で私に尋ねた。
「どうすれば優秀なセキュリティプロフェッショナルになれますか?」
私は正直に答えた。
電車に乗っているとき。
バスを待っているとき。
人が歩いているのを見ているとき。
自分に問いかけてみて。
「もし自分が攻撃者だったら、これをどう破るだろう?」
「弱点はどこにある?」
「誰が最初に狙われるだろう、そして、なぜ?」
彼は、まるで私が犯罪を告白したかのような目で私を見つめた。
長い、冷たい沈黙。
私は心の中で少し縮こまった。
あれ以来、私は特定の場面では羽をたたむことにした。
飛べないからじゃない。
飛びたくないからでもない。
ただ、翼の影が、ときに誰かには脅威の形に見えてしまうと知ったから。
こちらは守るために見ているのに、相手には「狙っている」ように見えてしまうことがあるから。
そして、多くのセキュリティプロフェッショナルがこの感覚を知っていると思う。
私たちは守っている。でも、時には私たちが脅威だと見られる。
この苦い誤解は、私たちの仕事について本質的なことを明らかにしている。
セキュリティは単なる知識やツールではない。
ほとんどの人が入る必要のない、異なる世界の精神モデルを身につけることだ。
ほとんどの人は、私たちのように考える必要がない。彼らは物事が意図通りに機能すると想定される世界に生きている。
私たちは違う。
私たちは「もし〜だったら?」と考える。
脆弱信号と故障モードをスキャンする。
攻撃を頭の中でシミュレーションする。
そこに何か悪いことが起こることを望んでいるからではなく、誰かがすでに計画していることを知っているからだ。
この視点の転換が、サイバーセキュリティの真の始まりだ。
それは、仕事が指示から本能へ、概念から認知へ、知ることから見ることへと移行する瞬間だ。
学習は「思い出す」ものではなくなる。「認識する」ものになる。
それが Learning by Doing の力だ。それは私たちが世界を受け取る方法を再配線する。
昨日、私は攻撃者をデザインプロセスに招き入れるという話を書いた。
すべてのセキュリティ会議の片隅に、空の椅子を置く。
姿は見えなくても、確かに存在する"もう一人のステークホルダー"として。
今日はそこから一歩進めたい。
なぜ、従来のセキュリティトレーニングの多くは現場に定着しないのか。
なぜ「分かっているのに、できない」という溝が、年中繰り返されるのか。
そして、研究はどこまで明らかにしたのか。
何が実際に人を動かし、行動を変え、習慣にまで落とし込めるのか。
今日からは、それを探りにいきたいと思う。
従来のセキュリティトレーニングの問題
あなたが参加したことがあるであろう典型的なセキュリティトレーニングセッションはおそらくこうであろう。
- スライド 1: 「パスワードは強力でユニークであるべき」
- スライド 2: 「システムを定期的に更新する」
- スライド 3: 「フィッシングメールに注意する」
- スライド 4: 「パスワードを再利用しない」
- クイズ: ちゃんと聞いていましたか?
あなたはクイズに合格する。ルールを知っている。
それでも 3 か月後、あなたは複数のサイトで同じパスワードを使い続けている。ノートパソコンは何週間も更新されていない。怪しいリンクにホバーもせずクリックした。
なぜ?
知ることと理解することは同じではないからだ。
あなたは喫煙が悪いことを知っている。でも、喫煙者の肺を見るまで、それを内臓的に理解していない。
あなたは飲酒運転が危険だと知っている。でも、衝突統計を見るまで、それを感じない。
あなたは弱いパスワードが危険だと知っている。でも、誰かが 3 秒でそれをクラックするのを見るまで、それを把握していない。
このギャップ。抽象的な知識と内まで届く理解の間。それこそが、セキュリティトレーニングが失敗する場所だ。
この現象は、行動心理学と教育理論で十分に文書化されている。Kolb (1984) の経験学習理論は、具体的な経験が抽象的な概念化だけよりも深く、より耐久性のある学習を生み出すことを示している。この理論は 4 段階のサイクルを提唱している: 具体的経験、内省的観察、抽象的概念化、能動的実験。従来のセキュリティトレーニングは通常、抽象的概念化の段階のみを扱うが、体験的アプローチは完全なサイクルを活性化し、より強固な学習成果をもたらす。
さらに、認知心理学の研究は、体験学習が Paivio (1990) が「二重符号化」と呼んだものを通じて記憶保持を強化することを示唆している。言語チャネルと経験チャネルの両方を通じて符号化された情報は、言語チャネルだけを通じて符号化された情報よりも強く、よりアクセスしやすい記憶痕跡を作り出す。サイバーセキュリティの文脈では、これはセキュリティ侵害を経験することが、単にそれについて読むこととは根本的に異なる認知効果を持つことを意味する。
従来のトレーニングは私たちにルールを与える。
体験的トレーニングは私たちに認識を与える。
ルールは忘れられる。
認識は私達と共にあり続ける。
なぜ従来のトレーニングはコンプライアンスを生み出すが、確信を生み出さないのか
従来のトレーニングは、暗記して従うように求める。
「私たちがそう言ったから、強いパスワードを使いなさい。」
「ポリシーだから、システムを更新しなさい。」
「トレーニングがそう言ったから、怪しいリンクをクリックしないように。」
しかし、理解のないコンプライアンスは脆い。
プレッシャーの下で消える。
時間とともに薄れる。
最も必要なときに失敗する。
この現象は自己決定理論 (Deci & Ryan, 2000) と一致している。この理論は、外発的動機付け(外部のルールによって駆動されるコンプライアンス)と内発的動機付け(内部の理解と価値観によって駆動される行動)を区別している。外発的動機付けに根ざしたセキュリティ行動は、外部の執行が弱まると崩壊しやすい。対照的に、脅威の真の理解を通じて発達した内発的動機付けは、より安定した持続的なセキュリティ行動を生み出す。
体験的トレーニングは何か違うものを生み出す。
それは確信。
あなたは誰かに言われたから強いパスワードを使うのではない。
弱いものがいかに簡単に破られるかを見たから使う。
あなたはポリシーだからシステムを更新するのではない。
パッチが修正する正確な脆弱性を悪用したから更新する。
あなたは服従から怪しいリンクを避けるのではない。
それらがトリガーする攻撃チェーンを理解しているから避ける。
それが、知ることと理解することの違いだ。
そして、その違いこそがセキュリティ行動が実際に定着するかどうかを決定する。
この区別は、精緻化見込みモデル (Petty & Cacioppo, 1986) によってさらにサポートされている。このモデルは説得への 2 つのルートを説明している。中心ルート(情報の慎重な検討と深い処理を伴う)と周辺ルート(表面的な手がかりとヒューリスティックを伴う)。従来のトレーニングは通常、周辺ルートを使用する--コンプライアンスは真の理解ではなく権威の手がかりを通じて達成される。体験的トレーニングは中心ルートを使用し、反説得に対してより抵抗力があり、実際の行動をより予測する態度変化を生み出す。
研究が示すこと
2023 年、コペンハーゲンの IT 大学の研究者たちは、シンプルだが深遠な質問を投げかけた。
攻撃者の視点からサイバーセキュリティを経験することは、ユーザーをより良いセキュリティ行動へと動機づけるか?
彼らは「Coursecurity」と呼ばれるトレーニングプラットフォームを構築し、非技術的なユーザーが実際にシミュレートされたシステムに対してサイバー攻撃を実行した (Dalgaard et al., 2023)。
攻撃について読むのではない。
ビデオを見るのでもない。
実際にそれらを実行する。
Nmap や Metasploit のような本物のツールを使用する。
攻撃者が使用する実際の方法論 (Hutchins et al., 2011 によって開発された Cyber Kill Chain フレームワーク) に従う。
弱いパスワードと古いソフトウェアを通じてシステムに侵入する。
そして、彼らは何が変わったかを測定した。
そして結果は驚くべきものだった。
この研究は、セキュリティの実務家が長い間直感的に理解してきたことに対する実証的検証を提供している。敵対的経験は、従来の指導では不可能な方法でセキュリティ行動を変革する。保護動機理論 (Rogers, 1975)―脅威への反応を理解するための確立されたフレームワーク--に研究を基礎づけることで、研究者たちは行動変化を媒介する特定の心理的構成要素を測定することができた。これには脅威評価(認識された重大性と脆弱性)と対処評価(反応効力と自己効力)が含まれる。
今日はここまで、また明日
今日は、従来のトレーニングがなぜ失敗するのか。知ることと理解することの間のギャップを探った。
明日は、研究が実際に何を発見したかを共有する。
体験学習が機能することを証明する数字。
なぜそうなのかを説明する心理学理論。
変革を明らかにする参加者の反応。
問題を理解することは最初のステップに過ぎないから。
次に、実際に機能する解決策を見る必要がある。
最後に
「パスワードは強くあるべき」と知ることと、「30 秒で弱いパスワードを自分でクラックするのを見ること」の間のギャップは、コンプライアンスと確信の間のギャップだ。
攻撃したことのない者は、真に守ることはできない。
抽象的な知識は抽象的な反応を生み出す。
内なる経験は真の警戒的な行動を生み出す。
――――
Why Security Training Fails
The Gap Between Knowing and Understanding
A while ago, I was asked to mentor a colleague who had just moved from IT engineering into security. He looked at me seriously and asked:
"How can I become a good security professional?"
I answered honestly.
When you're on the train.
When you're waiting for a bus.
When you're watching people walk by.
Try asking yourself:
"If I were an attacker, how would I break this?"
"Where are the weak points?"
"Who would be targeted first--and why?"
He stared at me as if I had just confessed to a crime.
A long, cold silence.
I remember shrinking a little inside.
Since then, I've learned to stay quiet in certain moments--not because I doubt what I said, but because I don't want to be misunderstood, judged, or seen as "dangerous."
And I think many security professionals know this feeling.
We protect--but sometimes we are seen as the threat.
That bitter misunderstanding reveals something essential about our work.
Security Isn't Just Knowledge or Tools
It's about learning to inhabit a different mental model of the world--one that most people never have to enter.
Most people don't need to think the way we do. They live in a world where things are assumed to function as intended.
We don't.
We think in "what if?"
We scan for weak signals and failure modes.
We mentally simulate attacks--not because we want harm to happen, but because we know someone out there is already planning it.
This shift in perspective is the real beginning of cybersecurity.
It's the moment when the work moves from instruction to instinct, from concept to cognition, from knowing to seeing.
Learning stops being something we "recall." It becomes something we "recognize."
That is the power of Learning by Doing. It rewires how we take in the world.
Yesterday, I wrote about inviting the attacker into our design process--the invisible stakeholder with an empty chair in every security meeting.
Today, I want to explore why traditional security training fails--and what research tells us actually works.
The Problem With Traditional Security Training
Let me describe a typical security training session you've probably attended:
- Slide 1: "Passwords should be strong and unique"
- Slide 2: "Update your systems regularly"
- Slide 3: "Be careful of phishing emails"
- Slide 4: "Don't reuse passwords"
- Quiz: Did you pay attention?
You pass the quiz. You know the rules.
Yet three months later, you're still using the same password across multiple sites. Your laptop hasn't been updated in weeks. You clicked that suspicious link without hovering first.
Why?
Because knowing is not the same as understanding.
You know smoking is bad--but you don't viscerally understand it until you see a smoker's lung.
You know drunk driving is dangerous--but you don't feel it until you see the crash statistics.
You know weak passwords are risky--but you don't grasp it until you watch someone crack one in three seconds.
This gap-between abstract knowledge and visceral understanding-is where security training fails.
This phenomenon is well-documented in behavioral psychology and educational theory. Kolb's (1984) Experiential Learning Theory demonstrates that concrete experience creates deeper, more durable learning than abstract conceptualization alone. The theory posits a four-stage cycle: concrete experience, reflective observation, abstract conceptualization, and active experimentation. Traditional security training typically engages only the abstract conceptualization stage, while experiential approaches activate the full cycle, resulting in more robust learning outcomes.
Furthermore, research in cognitive psychology suggests that experiential learning enhances retention through what Paivio (1990) termed "dual coding"--information encoded through both verbal and experiential channels creates stronger, more accessible memory traces than information encoded through verbal channels alone. In cybersecurity contexts, this means that experiencing a security breach has fundamentally different cognitive effects than merely reading about one.
Traditional training gives us rules.
Experiential training gives us recognition.
Rules can be forgotten.
Recognition stays with you.
Why Traditional Training Produces Compliance, Not Conviction
Traditional training asks you to memorize and comply.
"Use strong passwords because we said so."
"Update your systems because it's policy."
"Don't click suspicious links because the training told you."
But compliance without understanding is fragile.
It disappears under pressure.
It fades with time.
It fails when you need it most.
This phenomenon aligns with Self-Determination Theory (Deci & Ryan, 2000), which distinguishes between extrinsic motivation (compliance driven by external rules) and intrinsic motivation (behavior driven by internal understanding and values). Security behaviors rooted in extrinsic motivation are vulnerable to decay when external enforcement weakens. In contrast, intrinsic motivation--developed through genuine understanding of threats--produces more stable, persistent security behaviors.
Experiential training produces something different: conviction.
You don't use strong passwords because someone told you to.
You use them because you've seen how easily weak ones break.
You don't update systems because it's policy.
You update them because you've exploited the exact vulnerabilities patches fix.
You don't avoid suspicious links out of obedience.
You avoid them because you understand the attack chain they trigger.
That's the difference between knowing and understanding.
And that difference determines whether security behaviors actually stick.
This distinction is further supported by the Elaboration Likelihood Model (Petty & Cacioppo, 1986), which describes two routes to persuasion: the central route (involving careful consideration and deep processing of information) and the peripheral route (involving superficial cues and heuristics). Traditional training typically engages the peripheral route--compliance is achieved through authority cues rather than genuine understanding. Experiential training engages the central route, creating attitude change that is more resistant to counter-persuasion and more predictive of actual behavior.
What Research Shows
In 2023, researchers at the IT University of Copenhagen asked a simple but profound question:
Does experiencing cybersecurity from an attacker's perspective motivate users toward better security behavior?
They built a training platform called "Coursecurity" where non-technical users actually performed cyberattacks against simulated systems (Dalgaard et al., 2023).
Not reading about attacks.
Not watching videos.
Actually executing them.
Using real tools like Nmap and Metasploit.
Following the actual methodology attackers use (the Cyber Kill Chain framework developed by Hutchins et al., 2011).
Breaking into systems through weak passwords and outdated software.
Then they measured what changed.
And the results were striking.
The study provides empirical validation for what security practitioners have long intuited: that adversarial experience transforms security behavior in ways that traditional instruction cannot. By grounding their research in Protection Motivation Theory (Rogers, 1975)--a well-established framework for understanding threat responses--the researchers were able to measure specific psychological constructs that mediate behavioral change, including threat appraisal (perceived severity and vulnerability) and coping appraisal (response efficacy and self-efficacy).
Sum Up
Today, we explored why traditional training fails--the gap between knowing and understanding.
Tomorrow, I'll share what the research actually found.
The numbers that prove experiential learning works.
The psychological theory that explains why.
The participant responses that reveal the transformation.
Because understanding the problem is only the first step.
Next, we need to see the solution that actually works.
A Little Reflection
The gap between "knowing passwords should be strong" and "watching yourself crack a weak password in 30 seconds" is the gap between compliance and conviction.
Those who have never attacked cannot truly defend.
Abstract knowledge produces abstract responses.
Visceral experience produces vigilant behavior.
ーーー
References 参照・出典
Dalgaard, J. C., Janssen, N. A., Kulyuk, O., & Schürmann, C. (2023). Security awareness training through experiencing the adversarial mindset. In Proceedings of the NDSS Symposium on Usable Security and Privacy. https://www.ndss-symposium.org/ndss-paper/auto-draft-404/
Deci, E. L., & Ryan, R. M. (2000). The "what" and "why" of goal pursuits: Human needs and the self-determination of behavior. Psychological Inquiry, 11(4), 227-268. https://doi.org/10.1207/S15327965PLI1104_01
Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011). Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. Lockheed Martin Corporation.
Kolb, D. A. (1984). Experiential learning: Experience as the source of learning and development. Prentice Hall.
Paivio, A. (1990). Mental representations: A dual coding approach. Psychological Bulletin, 100(3), 391-394. https://doi.org/10.1037/0033-2909.100.3.391
Petty, R. E., & Cacioppo, J. T. (1986). The elaboration likelihood model of persuasion. In L. Berkowitz (Ed.), Advances in experimental social psychology (Vol. 19, pp. 123-205). Academic Press. https://doi.org/10.1016/S0065-2601(08)60214-2
Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. The Journal of Psychology, 91(1), 93-114. https://doi.org/10.1080/00223980.1975.9915803