Day 120 測れないものは、育たない Measuring Habit Formation - Making Growth Visible ①
[シリーズ構造] 柱E|癖にする
セキュリティ行動を"気合い"ではなく"能力"として扱うなら、 観察し、測り、調整し、繰り返す循環が必要になる。ただし、数字は中立ではない。 文脈を欠けば、判断を歪める。習慣を育てるとは、数値を増やすことではない。正しい行動が自然に出る確率を高めることだ。
▶ シリーズ概要: シリーズ全体マップ:人間のしなやかさ ― サイバー判断力のために
▶ 柱E|習慣と自律 関連記事:
- Day 47 | 良い判断を「癖」にする科学
- Day 48 | 「努力」ではなく「設計」でつくる
- Day 49 | 習慣の神経回路
- Day 50 | サイバーセキュリティにおける「習慣ループ」
- Day 51 | 戦略的に習慣を置き換えるという技
- Day 52 | 「もし〜なら」で動く脳
- Day 53 | 環境を設計する ― 良い習慣を「自然に」定着させる
- Day 54 | 良い習慣は、意志ではなく環境でつくられる
- Day 55 | 人が無理なく動けるセキュリティの構造
- Day 56 | デジタル環境の最適化
- Day 57 | 自動的セキュリティのアーキテクチャ
- Day 58 | 環境デザインの実践
- Day 120 | 測れないものは、育たない。
測れないものは、育たない
やっとここに戻ってきました、ここから少し、「どうやって習慣を測り、成長につなげるか」を考えていきます。
今日のテーマは、測れないものは、育たない。
「成長」は、調子のいい日には実感しやすい。けれど、プレッシャーがかかると、簡単に見誤る。
習慣も同じです。
セキュリティ行動やセキュリティ判断を、緊張下でもぶれないものにしたいのなら、それを"気合い"ではなく、"能力"として扱わなければなりません。
能力は、設計できる。
そして、育てられる。
そのための順番は、シンプルです。
- 観察する。
- 測る。
- 調整する。
- それを繰り返す。
よく使われるPDAに似ています。この循環があって、はじめて行動は定着します。
測定の指針でも強調されているのは、良い指標には条件があるということ。
・客観的であること
・再現可能であること
・時間軸にひもづいていること
・文脈とともに報告されること
文脈を欠いた数値は、ただのノイズになる。
ときに、間違ったインセンティブを生む。
数字は中立ではありません。
使い方を誤れば、判断を歪める。
だからこそ、「測ること」そのものにも、判断がいる。
習慣を育てるとは、数値を増やすことではない。
正しい行動が、自然に出る確率を上げること。
そのために、まずは"何を、どう測るのか"から始めます。
---
[Series Structure] Pillar E | The Science of Making Good Judgment a Habit
If security behavior is to hold under pressure, it must be treated not as motivation, but as capability. Observe. Measure. Adjust. Repeat.But metrics are never neutral. Without context, numbers distort judgment.Growing a habit is not about increasing a score. It's about increasing the probability that the right action emerges naturally even under stress.
▶ Series overview: Series Map -- Human Flexibility for Cyber Judgment
▶ Other posts in Pillar E (Habit & Autonomy):
- Day 47 | The Science of Making Good Judgment a Habit
- Day 48 | Habits Are Built Not by Willpower, But by Design
- Day 49 | What Happens Inside the Brain -The Neural Circuits of Habit
- Day 50 | The Habit Loop in Cybersecurity Context
- Day 51 | The Art of Strategic Habit Replacement in Cybersecurity
- Day 52 | The Brain That Moves on "If-Then"
- Day 53 | How to Make Good Habits Stick Naturally
- Day 54 | Good Habits Are Built by Environment, Not Willpower
- Day 55 | The Architecture of Effortless Security
- Day 56 | Digital Environment Optimization
- Day 57 | Environment Design in Practice ①
- Day 58 | Environment Design in Practice ②
- Day 120 | Making Growth Visible
Measuring Habit Formation - Making Growth Visible ①
Theme: If we can't measure it, we can't grow it.
"Growth" is easy to feel on a good day and easy to misread on a stressful one. Habit formation is the same. If we want security behaviors (and security judgment) to become reliable under pressure, we have to treat them like any other capability:
observe → measure → adjust → repeat.
NIST's measurement guidance emphasizes that good metrics should be objective, repeatable, time-referenced, and reported with context (otherwise they create noise or perverse incentives).
The Habit Loop (and why it matters for measurement)
A habit is not just "doing the right thing." It's doing the right thing automatically when the cue appears. Habit research commonly operationalizes "habit strength" as automaticity how much a behavior happens with less conscious effort.
What "success" looks like in habit formation (hint: not a quiz score)
Many organizations still default to completion rates and other compliance optics. But research on security awareness programs shows that these are common while behavioral impact is harder and often under-measured even though managers value behavioral evidence like incident trends and phishing-related behaviors.
So the core move is this:
Stop asking: "Did people finish the training?"
Start asking: "Do people behave differently in the moment that matters--and does it hold under load?"
References 出典・参照文献
Chaudhary, S., & Gkioulos, V. (2022). Metrics for the evaluation of a cybersecurity awareness program. Journal of Cybersecurity, 8(1), tyac006. https://doi.org/10.1093/cybsec/tyac006
Engeler, N., & Gilbert, S. J. (2020). The effect of metacognitive training on confidence and strategic reminder setting. PLOS ONE, 15(10), e0240755. https://doi.org/10.1371/journal.pone.0240755
Gardner, B., Lally, P., & Wardle, J. (2012). Making health habitual. British Journal of General Practice, 62(605), 664-666. https://doi.org/10.3399/bjgp12X659466
Gertner, A., Zaromb, F., Schneider, R., Roberts, R. D., & Matthews, G. (2016). The assessment of biases in cognition: Development and evaluation of an assessment instrument for the measurement of cognitive bias (MITRE Technical Report MTR160163). The MITRE Corporation. https://www.mitre.org/sites/default/files/publications/pr-16-0956-the-assessment-of-biases-in-cognition.pdf
Jacobs, J., Haney, J., & Furman, S. M. (2022, August). Measuring the effectiveness of U.S. government security awareness programs: A mixed-methods study (Short paper). In Eighteenth Symposium on Usable Privacy and Security (SOUPS 2022), 8th Workshop on Security Information Workers (WSIW 2022), Boston, MA, United States. National Institute of Standards and Technology. https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=934952
Keepnet Labs. (2025, February 14). What is phishing dwell time and quickest response time for security awareness training? https://keepnetlabs.com/blog/what-is-phishing-dwell-time-and-quickest-response-time-for-security-awareness-training
MoniqqueK. (2024, October 14). The Habit Loop Model [Image]. Wikimedia Commons. https://commons.wikimedia.org/wiki/File:The_Habit_Loop_Model.png
Schroeder, K., Trinh, H., & Pillitteri, V. Y. (2024). Measurement guide for information security: Volume 1--Identifying and selecting measures (NIST Special Publication 800-55v1). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-55v1
Tenable. (2026, January 27). What is MTTR and how to improve it? https://www.tenable.com/cybersecurity-guide/learn/mean-time-to-remediate-mttr
University College London. (2009, August). How long does it take to form a habit? https://www.ucl.ac.uk/news/2009/aug/how-long-does-it-take-form-habit