RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

セキュリティ教育は、なぜ「全員同じ」では限界があるのか

»

AI時代に考える、人に合わせたサイバー判断力の育て方

SmallPicture_2.jpg

サイバーセキュリティ教育というと、多くの組織では、年に一度のeラーニングや、標的型攻撃メール訓練を思い浮かべるかもしれません。

「不審なメールを開かない」
「怪しいリンクをクリックしない」
「パスワードを使い回さない」
「多要素認証を使う」

どれも大切です。

しかし、現場で長年インシデント対応を見てきて感じるのは、人は「知らなかったから」だけで失敗するわけではない、ということです。

知っていた。
研修も受けていた。
注意すべきだとも分かっていた。

それでも、疲れていた。
急いでいた。
責任を感じていた。
上司や取引先からの依頼に見えた。
今すぐ対応しなければいけないと思った。

その瞬間、人は安全な判断から外れてしまうことがあります。

つまり、サイバーセキュリティの問題は、単なる知識不足ではありません。

それは、人間の判断、感情、習慣、役割、環境、そしてその人自身の特性が重なって起きる問題です。

人は同じようには学ばない

セキュリティ教育で見落とされがちなのは、受け手である「人」が一人一人違うということです。

同じ教材を見ても、すぐに行動を変えられる人もいれば、内容は理解していても日常の行動に結びつかない人もいます。

チェックリストや手順があると安心して動ける人。
対話やディスカッションの中で理解が深まる人。
シナリオや事例を通じて、自分ごととして考えられる人。
不安を強く感じすぎると、かえって判断が固まってしまう人。

これは能力の差ではありません。

学び方、反応の仕方、注意の向け方、ストレスへの感じ方が違うのです。

心理学の分野では、人の性格特性を説明する考え方の一つとして「Big Five」があります。誠実性、協調性、外向性、開放性、神経症傾向という五つの特性です。

サイバーセキュリティ研究でも、こうした人格特性が安全行動と関係している可能性が指摘されています。

例えば、誠実性が高い人は、ルールを守る、手順を継続する、パスワード管理や更新作業をきちんと行う、といった行動と結びつきやすいと考えられます。

協調性が高い人は、自分の行動が周囲や組織に与える影響を考え、規程を守ろうとする傾向があるかもしれません。

一方で、外向性が高い人は、対話型や参加型の学習には向いているかもしれませんが、状況によっては注意が外に向きやすく、短時間で区切った訓練の方が合う可能性もあります。

神経症傾向が高い人には、恐怖をあおるような教育よりも、短く、分かりやすく、安心して確認できる設計の方が効果的かもしれません。

もちろん、これは「この性格の人はこうだ」と決めつける話ではありません。

むしろ大切なのは、人によって「安全な行動に至る道筋」が違うということです。

「気をつけよう」だけでは、人は守れない

従来のセキュリティ教育は、どうしても一律型になりがちです。

全員に同じ動画を見せる。
全員に同じテストを受けてもらう。
全員に同じ標的型メール訓練を行う。

しかし、組織の中にはさまざまな人がいます。

経理担当者、役員、開発者、営業担当者、カスタマーサポート、情報システム部門。
それぞれ、受け取るメールも、扱う情報も、攻撃者から狙われる理由も異なります。

さらに、同じ職種であっても、慎重に確認する人もいれば、スピードを重視する人もいます。
不安になりやすい人もいれば、逆に「自分は大丈夫」と思いやすい人もいます。

それなのに、全員に同じ教育だけを提供して、本当に行動は変わるのでしょうか。

私は、これからのセキュリティ教育は「知識を配る教育」から、「判断を育てる教育」へ変わる必要があると思っています。

AI時代の教育は、人を分類するためではなく、人に合わせるためにある

AIや適応学習の技術を使えば、セキュリティ教育はより個別化できる可能性があります。

例えば、職務や権限に応じて、必要な教材を変える。
フィッシング訓練の結果に応じて、追加の練習を出す。
学習履歴や苦手な場面に応じて、短いマイクロラーニングを届ける。
急ぎの業務が多い人には、短時間で確認できる教材を出す。
対話が得意な人には、ディスカッション型の演習を組み込む。
不安が強くなりやすい人には、恐怖訴求ではなく、安心して止まれる手順を示す。

ここで大切なのは、AIを使って人をラベル付けすることではありません。

「あの人は危険な人だ」
「あの性格だから失敗する」
「この属性の人にはこの教育だけでよい」

そういう使い方をすれば、かえって危険です。

人に関するデータを扱う以上、プライバシー、説明可能性、同意、バイアスへの配慮は不可欠です。

AIを使う目的は、人を管理することではなく、人を理解し、支援することです。

育てるべきは、知識だけではなく「サイバー判断力」

私は、サイバーセキュリティ教育の中心には「サイバー判断力」が必要だと考えています。

サイバー判断力とは、単に正解を知っていることではありません。

違和感に気づく。
すぐに反応しない。
一度、間を取る。
疑う。
別の経路で確認する。
そして、自分で安全な行動を選ぶ。

この一連の力です。

攻撃者は、技術だけを攻撃しているのではありません。
人の焦り、責任感、恐怖、疲労、孤独、時間圧を突いてきます。

だからこそ、教育もまた、人間を中心に設計しなければなりません。

「気をつけましょう」では足りない。
「知っておきましょう」だけでも足りない。
本番で止まれるように、練習する必要があります。

これは、災害時の避難訓練に近いものです。

地震が起きてから避難経路を考えるのでは遅い。
火災が起きてから消火器の使い方を初めて学ぶのでは遅い。

同じように、サイバー攻撃を受けた瞬間に、冷静に判断しようとしても難しいのです。

だから私は、これを「デジタル避難訓練」と呼んでいます。

これからのセキュリティ教育に必要な三つの個別化

これからの組織には、少なくとも三つの個別化が必要だと思います。

一つ目は、役割に応じた個別化です。
役員、経理、人事、開発、営業、IT部門では、直面するリスクが違います。

二つ目は、行動に応じた個別化です。
フィッシング訓練、学習履歴、実際の確認行動などから、どこでつまずきやすいのかを見る必要があります。

三つ目は、学び方に応じた個別化です。
ある人にはチェックリストが合う。
ある人には対話が合う。
ある人にはシナリオが合う。
ある人には短い反復練習が合う。

全員に同じ教育をすることが公平なのではありません。

一人一人が安全な判断にたどり着けるように設計すること。
それが、これからの公平さではないでしょうか。

人間中心のサイバーセキュリティへ

サイバーセキュリティは、技術だけでは守れません。

もちろん、技術は必要です。
多要素認証も、EDRも、ゼロトラストも、監視も、脆弱性管理も必要です。

しかし、それらを使い、判断し、例外に対応し、最後に行動するのは人間です。

人は弱いから失敗するのではありません。
人間だから、揺らぎます。
人間だから、焦ります。
人間だから、信じます。
人間だから、誰かの役に立とうとして、危険な依頼にも応じてしまうことがあります。

だからこそ、セキュリティ教育は、人間を責めるものではなく、人間を支えるものであるべきです。

AI時代のセキュリティ教育に必要なのは、より速く、より多く、より強く教えることだけではありません。

その人が、危険な場面で一度立ち止まれるようにすること。
自分の判断が曇る瞬間に気づけるようにすること。
確認することを、遅さではなく防御として身につけること。

一律の教育から、人に合わせた教育へ。
知識の伝達から、判断の練習へ。
管理のためのAIから、人を支えるAIへ。

サイバーセキュリティ教育は、今その転換点にあるのだと思います。

参考にした研究・資料

  • Baruth, O., & Cohen, A. (2023). Personality and satisfaction with online courses: The relation between the Big Five personality traits and satisfaction with online learning activities. Education and Information Technologies, 28(1), 879-904.

  • Gratian, M., Bandi, S., Cukier, M., Dykstra, J., & Ginther, A. (2018). Correlating human traits and cyber security behavior intentions. Computers & Security, 73, 345-358.

  • Hadlington, L., & Murphy, K. (2018). Is media multitasking good for cybersecurity? Exploring the relationship between media multitasking and risky cybersecurity behaviors. Heliyon, 4(4), e00686.

  • Hausmann, B. (2022). Adaptive learning framework for security awareness training. Proofpoint Blog.

  • Khadka, K., & Ullah, A. B. (2025). Human factors in cybersecurity: An interdisciplinary review and framework proposal. International Journal of Information Security, 24, Article 119.

  • Normadhi, N. B. A., Shuib, L., Md Nasir, H. N., Bimba, A., Idris, N., & Balakrishnan, V. (2019). Identification of personal traits in adaptive learning environment: Systematic literature review. Computers & Education, 130, 168-190.

  • Proofpoint. Deploy automated, risk-based security awareness training.

  • Ray, A., Oulamine, A., & Lim, B. (2025). Assessment of the impact of extraversion on depression, distraction and knowledge absorption capacity in online learning education. International Journal of Educational Management, 39(1), 198-218.

蓮見祥子 2026/06/20 07:55:05 Comment(0)

コメント

コメントを投稿する