Day 61 経験の科学 The Science of Experience
Day 61 経験の科学
水泳の練習を思い出してください。
本を読むことも、動画でフォームを学ぶことも、用語を暗記することもできる。でも、それだけでは泳げません。
唯一の方法は、水に入ること。
沈む。浮かぶ。パニックと、前に進めた瞬間。
あの「身体で覚える感覚」だけが、泳ぐ力になる。
セキュリティも同じです。
知識は「侵害は悪い」と教えてくれる。
経験は「どれほど悪いか」「どれほど簡単に起こるか」を見せつける。
これが、コンプライアンスと確信の違い。
そしてそれは、理論ではなく、生き残りの問題なのです。
攻撃することで学ぶと何が起こるか
昨日、なぜ従来のセキュリティトレーニングが失敗するのかを探りました。
知ることと、理解することのあいだの溝。コンプライアンスと確信。ルールと認識。抽象的な知識と、内的な経験。
水に入らないかぎり泳げないように、画面の前だけでは、行動は変わらない。
今日は、研究が実際に何が効くのかを示している事実を探っていきます。
数字。心理学。そして、行動が作り変えられる瞬間。
コペンハーゲンの研究が明らかにしたのは、経験学習が「効く」という結果だけではありませんでした。
なぜ効くのか。その仕組みと、脳の中で起きる変化。
人がリスクを「聞く」のではなく「経験」したとき、行動がどう再設計され、判断がどこで生まれ変わるのか。
今日は、そのメカニズムを一緒に潜っていきます。まるで、初めて水に顔をつけた日のように。
研究の基盤
コペンハーゲンのIT大学の研究者たちは、ある実験を行いました。「Coursecurity」というトレーニングプラットフォームを構築し、技術的な知識のない人たち──経理、人事、広報、マーケティング。普段、ハッキングとは無縁の人々に、こう言ったのです。
「攻撃者になってください。」
彼らは、実際の攻撃ツールを使いました。Nmap、Metasploitといった本物のツール。そして、攻撃者が現場で使う典型的な手順(Cyber Kill Chain)に沿って、弱いパスワードや古いソフトウェアから侵入し、シミュレートされたシステムを攻撃したのです。
そして研究者たちは、何が変わったのかを測定しました。
実際に攻撃を"経験する"ことで、リスクが皮膚感覚に変わり、判断が再設計される。
専門家ではなく、普通の人々が。会計士が、人事マネージャーが、マーケターが。自ら攻撃者になったとき。
彼らのセキュリティ観は、静かに、しかし確実に変わったのです。
結果は驚くべきものでした
参加者の89%が、自分で攻撃を経験した後、セキュリティ侵害をより深刻だと認識しました。
少しイメージしてみましょう。
100人の組織があったとして、トレーニング前は、おそらく40人くらいがセキュリティを真剣に受け止めている。
たった一日の午後で、89人が、世界の見え方を変えました。
「新しい知識を学んだから」ではありません。
認識が変革されたからです。
セキュリティは"概念"ではなく、"現実"になった。
そして、68%がこう報告しています。
セキュリティポリシーに従う動機が高まった、と。
それは「忘れないように気をつけよう」という義務感ではない。
「今見たことを、決して忘れられない」という確信です。
認識から、態度へ。
態度から、行動へ。
行動から、文化へ。
しかし最も強力な証拠は、ここから先にあります。科学的な測定が示した変化です。
数字が本当に意味すること
この研究は、Protection Motivation Theory構成概念(Rogers, 1975)を使用して変化を測定しました:
- セキュリティポリシー遵守意図:大きな正の効果(d = 0.74)
- セキュリティ侵害懸念レベル:中程度から大きな正の効果(d = 0.56)
- 対応効力感:大きな正の効果(d = 0.89)--セキュリティ対策が実際に機能するという信念
統計用語では、効果量が0.5以上は中程度、0.8以上は大きいとされています(Cohen, 1988)。
効果量を温度変化のように考えてみてください:
- 2 = わずかに涼しい部屋(ほとんど気づかない)
- 5 = 春から夏へ(明らかに違う)
- 8 = アラスカからハワイへ(変革的)
このトレーニングは0.74から0.89を生み出しました。
大規模。否定できない。変革的な変化。
典型的な企業のセキュリティトレーニング? 効果量0.2-0.3。
コペンハーゲンの経験学習トレーニング? 効果量0.74-0.89。
3倍効果的です。
たった一日の午後の後に。
何ヶ月ものコースではなく。
参加者が実際に言ったこと
数字は一つのストーリーを語ります。
しかし、参加者の言葉はより深いものを明らかにします。
マーケティングマネージャー
トレーニング前: 「セキュリティが重要だということは知っています。数字と記号を使った『強力な』パスワードを持っています」
トレーニング後: 「無料ツールを使って14分でシステムに侵入できたことにかなりショックを受けました。給与情報、社会保障番号、医療記録を見ました。ただそこにあったんです。経験ゼロの私がこれができるなら、悪意のある人は何ができるでしょうか?」
財務スタッフ
トレーニング前: 「セキュリティについてはIT部門の人がいます。それが彼らの仕事です」
トレーニング後: 「危険性が見えるようになります。私は技術者ではありません。天才でもありません。でも、企業システムをハッキングしたんです。ツールはオンラインで無料です。これはIT部門の問題ではありません。みんなの問題なんです」
人事担当者
トレーニング前: 「パスワードは面倒です。要件を満たしながらシンプルにしています」
トレーニング後: 「適切なパスワードの重要性を確信しました。パターンを使って『安全な』パスワードを4秒でクラックしました。4秒です。今はパスワードマネージャーを使っています」
オペレーションマネージャー
トレーニング前: 「セキュリティ侵害は他の会社で起こることです」
トレーニング後: 「ITセキュリティに関する緊急性が高まりました。シミュレーションで忘れ去られたサーバーを見つけました。誰も覚えていませんでした。2011年以来パッチが当てられていません。2011年です。14年間、機密データを持ったまま、脆弱な状態で放置されていたんです」
これらは単に新しい情報を学んだ人々ではありません。
セキュリティの見方を根本的に変えた人々です。
一回のトレーニングセッション。
一日の午後。
持続的な行動変容。
なぜ効くのか -- 感じる心理学
コペンハーゲンの研究は
Protection Motivation Theory(人は脅威にどう反応するか)を土台にしていました。
人がリスクの前で行動を変えるとき、脳は4つを評価します。
- どれほど悪いか(脅威の深刻度)
- 従来:「侵害は悪い」→「まあ、そうでしょうね」
- 経験:画面に"自分で盗んだ機密ファイル"が映る →「これは壊滅的だ」
- 自分に起こり得るか(脆弱性)
- 従来:「攻撃はありえる」→「きっと他の会社で」
- 経験:弱いパスワードから自力で侵入 →「私も標的になり得る」
- 対策は本当に効くのか(対応効力感)
- 従来:「更新は大事です」→「たぶん」
- 経験:パッチで塞がる脆弱性を攻撃してみて理解 →「これは効く」
- 自分にできるか(自己効力感)
- 従来:「ルールに従ってください」→「難しそう。また後で」
- 経験:自分の手で一つ守れた瞬間 →「あ、これならできる」
これがコペンハーゲンのトレーニングが行ったことです。サイバーセキュリティについて。想像する代わりに、参加者はそれを経験しました。
何が起きたのか -- 認識が再配線される
攻撃者になると、すべてが変わります。
- 「侵害は悪い」→ どれほど悪いか、身体で理解する
- 「脆弱かもしれない」→ 自分で侵入して確信する
- 「更新は大事」→ 脆弱性とパッチの因果を体験する
- 「パスワードを強く」→ 予測可能なパスワードが数秒で破られる
抽象が具体に。
仮説が現実に。
可能性が確実性に。
これは、教育心理学者が「生産的失敗」(Kapur, 2008)および「望ましい困難」(Bjork, 1994)と呼ぶものと一致しています。より難しく感じるが、より強力で転移可能な理解を生み出す学習体験。
経験が指示に勝る理由
従来のトレーニングは知識を足す。
経験学習は認識を変える。
ここに基本的な洞察があります:
- 知識は忘れられる可能性があります。
- 認識はあなたと共にあり続けます。
侵害の統計は忘れても、自分の手で盗った機密ファイルが画面に映った瞬間は忘れない。
パスワードの規則は忘れても、数秒でクラックした「安全なはずのパスワード」は忘れない。
これが経験が指示に勝る理由です。より面白いから(実際そうですが)ではありません。
より記憶に残るから(実際そうですが)ではありません。世界の見方を再配線するからです。そして、セキュリティでは見え方が行動を決める。
この実験は、静かにしかし避けられない形で、私たちにこう問いかけてきます。
- コンプライアンスを生んでいますか?それとも確信を生んでいますか?
- ルールを覚えさせていますか?それとも脅威を"見える"ようにしていますか?
- 知識を追加していますか?それとも認識を変革していますか?
私たちは岸から声をかけているのか、それとも一緒に水へ入る場をつくっているのか。
コペンハーゲンの研究は示しました。数時間の経験学習が、数ヶ月の従来型研修を超えることがあると。
SANS、Offensive Security、HackTheBoxがこの思想を基盤にトレーニング体系を築いてきたのは偶然ではありません。
研究は今、実務者が長い間観察してきたことを検証しています。
経験は指示に勝る。
2025年の今
しかし、知っておく必要があることがあります。
コペンハーゲンの研究は、従来の攻撃ツールを使用して2023年に実施されました。
2023年から2025年の間に、すべてが変わりました。
最新の業界データによると(IBM Security, 2024, 2025):
- AI支援フィッシング攻撃が703%増加(2024年下半期)
- IT専門家の51%が、2024年の成功した攻撃をChatGPTまたは類似のツールに起因すると考えている
- フィッシングメールの80%以上が現在、何らかの形のAI生成を組み込んでいる
- 平均侵害コスト:2024年に488万ドル(2023年から10%増)
- AI関連の侵害を受けた組織の97%が適切なAIアクセス制御を欠いていた
明日、これが何を意味するかを探っていきたいと思います。
―――――――――――――――
The Science of Experience
What Happens When You Learn by Attacking
Yesterday, we explored why traditional security training fails--the gap between knowing and understanding.
We talked about compliance versus conviction.
Rules versus recognition.
Abstract knowledge versus visceral experience.
Today, I want to show you what research proves actually works.
The numbers. The psychology. The transformation.
Because the Copenhagen study didn't just show that experiential learning works. It showed how and why it transforms security behavior.
The Research Foundation
The researchers at the IT University of Copenhagen built a training platform called "Coursecurity."
Non-technical users--people with no hacking background--actually performed cyberattacks against simulated systems.
They used real tools like Nmap and Metasploit. They followed the Cyber Kill Chain methodology that real attackers use. They broke into systems through weak passwords and outdated software.
Then the researchers measured what changed.
The Results Were Striking
89% of participants perceived security breaches as more severe after experiencing attacks themselves.
68% reported increased motivation to follow security policies.
But those percentages only tell part of the story.
The study measured changes using Protection Motivation Theory constructs:
Security policy compliance intention: Large positive effect (d = 0.74)
Security breach concern level: Moderate to large positive effect (d = 0.56)
Response efficacy: Large positive effect (d = 0.89)--belief that security measures actually work
In statistical terms, effect sizes above 0.5 are considered medium, and above 0.8 are large.
These results represent substantial, meaningful behavioral change. Not marginal improvement. Transformation.
What Participants Actually Said
The numbers don't fully capture what participants experienced. Their words reveal something deeper:
"Pretty shocked how easy it was..."
"It makes you see the danger"
"I'm now convinced of the importance of proper passwords"
"Increased sense of urgency regarding IT security"
These aren't people who just learned new information. These are people who fundamentally changed how they see security.
One training session. One afternoon. Lasting behavioral change.
Why This Works: The Psychology Behind It
The Copenhagen study was built on Protection Motivation Theory--a psychological framework that explains how people respond to threats.
It posits that protective behavior depends on two cognitive appraisals:
Threat Appraisal:
- Perceived Severity: How bad would this be?
- Perceived Vulnerability: Could this happen to me?
Coping Appraisal:
- Response Efficacy: Will the recommended action actually work?
- Self-Efficacy: Can I actually do it?
Traditional training tells you breaches are bad, you could be targeted, use strong passwords.
But you don't believe it viscerally.
The Transformation That Happens
When you experience being the attacker, everything changes.
Threat Appraisal Transforms:
You don't just know breaches are bad. You see confidential files on your screen.
You don't just hear you're vulnerable. You broke in yourself with trivial effort.
Coping Appraisal Transforms:
You don't just read that updates help. You exploited the exact vulnerability patches fix.
You don't just memorize password rules. You cracked predictable passwords in seconds.
The abstract becomes concrete. The hypothetical becomes real. The possibility becomes certainty.
Why Experience Changes Everything
Here's the fundamental insight:
Traditional training adds to your knowledge. Experiential training changes your perception.
Knowledge can be forgotten. Perception stays with you.
You might forget the specific statistic about breach costs. But you'll never forget the feeling of seeing confidential files appear on your screen after a simple exploit.
You might forget the exact password requirements. But you'll never forget how quickly you cracked a "secure" password that followed a predictable pattern.
This is why experience trumps instruction.
Not because it's more entertaining (though it is). Not because it's more memorable (though it is). But because it rewires how you see the world.
And in security, seeing differently is everything.
What This Means
If you're responsible for security training, ask yourself:
Are you creating compliance or conviction?
Are you teaching people to follow rules or to see threats?
Are you adding to their knowledge or transforming their perception?
The Copenhagen study shows us that one afternoon of experiential learning produces effect sizes that most traditional training programs never achieve--even after months of compliance courses.
Organizations like SANS Institute, Offensive Security, and HackTheBox have built entire training ecosystems on this principle.
The research now validates what practitioners have long observed: Experience trumps instruction.
Looking Ahead
Today, we explored the science: the numbers, the psychology, the transformation.
Tomorrow, I'll reveal how AI has completely changed this landscape--and why the 2023 Copenhagen study, while groundbreaking, now represents only the beginning of what's possible.
We'll explore the AI multiplier effect: How threats have evolved 100x faster. And why modern experiential training must evolve with them.
ーーーー
References 参照・出典
Bjork, R.A. (1994). "Memory and Metamemory Considerations in the Training of Human Beings." MIT Press.
Boss, S.R., et al. (2015). "What Do Systems Users Have to Fear?" MIS Quarterly, 39(4), 837-864.
Cohen, J. (1988). Statistical Power Analysis for the Behavioral Sciences. Lawrence Erlbaum Associates.
Dalgaard, J.C., et al. (2023). "Security Awareness Training Through Experiencing the Adversarial Mindset." NDSS Symposium.
Johnston, A.C., & Warkentin, M. (2010). "Fear Appeals and Information Security Behaviors." MIS Quarterly, 34(3), 549-566.
Kapur, M. (2008). "Productive Failure." Cognition and Instruction, 26(3), 379-424.
Rogers, R.W. (1975). "A Protection Motivation Theory of Fear Appeals and Attitude Change." Journal of Psychology, 91(1), 93-114.