最も成功しているサイバー攻撃の多くは、ソーシャルエンジニアリングを通じてエンドユーザーを標的にするか、ユーザーのミスによって脆弱なまま放置されたシステムを悪用します。そのため、現代においてサイバーリスクを管理するには「人」の要素を守ることが極めて重要です。
最近のデータ漏洩や業務中断、脅威に関するニュースが示す通り、状況は深刻です。セキュリティ意識向上トレーニングプログラムに投資しているにもかかわらず、多くの組織は必要な成果を得られていません。平均的なセキュリティ意識向上トレーニングプログラムは、せいぜい年2回の型通りのモジュールで、セキュリティトレンドの豆知識をいくつか紹介し、ユーザーにフィッシングを見分けるゲームをさせたり、シミュレーションで驚かせたりする程度です。フィッシングメールのクリック率が比較的低ければ、プログラムは成功と見なされます。
しかし、セキュリティの成果が芳しくないこと自体が、この種のトレーニングがリスク低減に役立っていないことを物語っています。
先進的な組織は、ありきたりなプログラムの習慣から脱却し、ユーザーの不安全な行動を変えるだけでなく、組織全体の防御力を高める行動を促すトレーニングを提供しています。効果的なセキュリティトレーニングプログラムが行っている最も根本的な変化の一つは、「意識向上」というラベル自体を捨て始めていることです。
「ほとんどのプログラムは、純粋なセキュリティ意識向上から、人間のリスク管理モデルへの移行を始めています」と、Cognitive Security Instituteのエグゼクティブディレクターであるマシュー・カナム博士は説明します。この変化は、単に従業員やユーザーにポリシーや脅威について知らせるのではなく、行動変容を促すことに重きを置いているのです。
これは重要なポイントだと、ケント大学サイバーセキュリティリーダーであり、CybSafeのサイエンス&リサーチディレクターであるジェイソン・ナース博士も同意しています。彼は意識向上中心のトレーニングの効果のなさについて率直です。
「私たちは皆、健康のためにバランスの良い食事と定期的な運動が必要だと知っていますが、必ずしも実践しているわけではありません」とナース博士は言います。「サイバーセキュリティも同じです。意識があることと、行動が変わることはイコールではありません。」
そのため、多くの先進的なセキュリティトレーニングプログラムは、心理学や認知科学の原則を取り入れ、ユーザーに意味のある行動変容を促すにはどうすればよいかを考えています。以下は、これらの最先端プログラムで見られる7つの実践例です。
COM-Bモデルで行動変容を促す
ナース博士によれば、優れた人間リスク管理プログラムは、心理学の文献で「COM-Bモデル」と呼ばれるものを中心に行動トレーニングを設計することが多いそうです。
「人々は適切な能力、機会、動機を持つ必要があり、それらが適切に組み合わさることで、特定の行動につながるのです」と彼は言います。
人間リスク管理において、能力には意識向上や手順トレーニングの両方が含まれます。機会には、安全なアーキテクチャやガードレールなど、安全な選択をしやすくする仕組みが含まれます。動機は、安全な選択を奨励し、問題報告やセキュリティチームとのオープンなコミュニケーションを促す文化からも生まれます。
「セキュリティが組織文化の一部となり、会話やリーダーシップの模範、フィードバックループを通じて強化されると、従業員は“最も弱いリンク”から“最前線の防御者”へと変わります」と、Keeper SecurityのCISOであり、以前は連邦政府で内部窃盗やフォレンジック、機密業務など幅広いリスク管理プログラムを運営していたシェーン・バーニー氏は述べています。
「スローシンキング」反射を活性化する
より良いセキュリティ成果のために行動変容に焦点を当てたトレーニングは、攻撃の技術的な細部を見抜くことにこだわりすぎることはありません。むしろ、なぜ操作的な手法が使われるのか、その理由や、緊急性やキャリアへの影響への恐怖といった感情がどのように引き起こされるのかを教えます。
「ほとんどのセキュリティ意識向上プログラムは、危険信号を覚えさせて“人を直そう”としますが、それは間違ったメンタルモデルです」と、Darktraceのセキュリティ&AI戦略担当副社長であり、応用実験心理学の博士号を持ち、セキュリティ運用の行動介入に長年携わってきた行動科学者のマーガレット・カニングハム博士は説明します。彼女は、ユーザーがプレッシャー下にあるときは、デジタルやサイバー攻撃の知識よりも状況認識が重要だと述べます。
「疲労、マルチタスク、デバイスの制約、緊急性のサインは、非常に注意深いユーザーでさえ圧倒してしまいます」と彼女は言います。「午前10時には慎重だった同じ人が、6回の会議と上司からの“今すぐ必要”というメッセージの後、午後10時には脆弱になっているかもしれません。」
セキュリティ用語で言えば、最良のプログラムは技術や手順よりもTTP(戦術・技法・手順)の広い戦術に多くの時間を割きます。最終的な目標は、ユーザーがプレッシャー下でリスクの高い選択を迫られたときに、反射的に立ち止まって考えるスキルを磨くことです。
「意識向上は、“スローシンキング”を必要に応じて発動させるべきです。つまり、一瞬立ち止まって確認したり、正しいチャネルに誘導したり、“返信”ではなく“報告”をクリックすることです」とカニングハム博士は言います。
この反応をユーザー全体に浸透させるには、普段ならやらないことを急いでやらせる感情的なトリガーについて教える必要があります。たとえば、不審な場所にパスワードを入力したり、「今すぐ取引を完了させろ」と言う“CEO”の指示で送金を実行したりする場合などです。
「私が見てきた最大の成功例は、攻撃者がなぜその行動を取るのかという根本的な戦略を教えるときです」とカナム博士は言います。「つまり、感情的な反応を理解させることで、もし混乱し始めたら“今こそ考えるべき時だ”と気づくことができるのです。これは攻撃者が使う手口です。」
現実に即した「小さな教育的ナッジ」
セキュリティ専門家や認知行動の専門家は、今日最も効果的なセキュリティプログラムは、ユーザーに頻繁に小さなナッジや実際の攻撃を模したシナリオベースのシミュレーションを行っていると一致しています。
「脅威の状況は日々変化しており、年1回のトレーニングは提供された瞬間から時代遅れになります」とバーニー氏は言います。「現実のインシデントに紐づいた継続的かつ小規模な教育が、意識を常に関連性のあるもの、実行可能なものに保ちます。」
これこそが、従業員がベストな状態でなくても「スローシンキング」の反射を定着させる助けになると彼は言います。カナム博士も同意しています。
「トレーニングが現実に近ければ近いほど、そのトレーニングは効果的になります」とカナム博士は言います。これは軍隊が兵士を実戦に近い状況で訓練する理由でもあると説明します。
カニングハム博士も、シナリオベースのナッジが最も効果的だと完全に同意しています。なぜなら、ユーザーの日常の行動に根ざしているからです。ただし、やりすぎには注意が必要だと警告します。
「やりすぎには転換点があります。過剰なトレーニングやシミュレーションは逆効果となり、燃え尽きや無関心、慣れを生み出します」と彼女は言います。「セキュリティが“ノイズ”として認識されると、人々は聞き流すようになります。」
指標をより意味のあるものにする
最終的には、測定されるものが管理されます。ナース博士やカナム博士のような専門家は、モジュールの完了率やフィッシングのクリック率のような単純な指標が、凡庸なセキュリティトレーニングプログラムの足かせになっていると指摘します。
「業界はクリック率に頼りすぎています」とナース博士は言い、自身の組織がクリック率やMFA導入以外の管理・測定可能な行動に業界の目を向けさせるため、セキュリティ行動のオープンソースデータベース「SebDB」に投資したと説明します。このデータベースには現在、未使用時のデバイスのWebカメラを覆うことから、セキュリティ施設でのテイルゲーティング防止まで、101の行動が含まれています。
カナム博士は、組織が何をどのように測定するかについてより規律を持つことで、セキュリティトレーニングの内容や提供方法の改善を促すだけでなく、プログラムの予算確保にもつながると述べています。
「多くの場合、セキュリティプログラムはほとんど後回しにされがちです」と彼は言います。「適切な指標の組み合わせを生み出すことで、リーダーシップとのコミュニケーションや必要な予算の確保に役立ちます。」
ナース博士は、適切な指標の組み合わせが重要であるだけでなく、最先端の組織はランダム化比較試験(RCT)を用いてデータの信頼性を高めていると付け加えます。これは、何かの影響を受けた人とそうでない人の行動を比較する、行動科学の基本的な測定手法です。トレーニングでは、特定のコンテンツに触れたグループと触れていないコントロールグループを並べて効果を測定します。
「RCTは、試している介入が設計通りに機能しているという証拠に、より自信を持たせてくれます」と彼は言います。
ゲーミフィケーションは慎重に活用する
ゲーミフィケーションは現在、セキュリティトレーニングの世界で大流行しています。トレーニングを楽しくすることでユーザーの関与を高める効果は確かにありますが、行動科学の専門家は、効果的な組織はその使い方に慎重かつ意図的であるべきだと警告します。
「現実を本当に模倣していないものには非常に慎重になります」とカナム博士は言います。「マリオブラザーズ風のゲームでフィッシングを見分けるのは、現実と直結しません。最良の場合でも効果は限定的で、最悪の場合は従業員が“効果がないのに時間を取られる”と反感を持つ可能性があります。」
彼が見てきた最も成功したゲーミフィケーションの活用例は、参加が任意であり、シナリオベースのテストなどでの行動に基づいたリーダーボード型のゲームを提供するプログラムです。
ポジティブな強化を重視する
最良のセキュリティトレーニングプログラムは、ポジティブな強化を重視する傾向があります。疑わしい行動を報告したり、シミュレーションで良い成績を収めたユーザーを報奨します。さらに重要なのは、トレーニング中にミスをしてもユーザーを罰しないことです。
「優れたプログラムは、“シミュレーションに失敗したから”とユーザーを罰することには慎重です。なぜなら、学習が進歩していれば失敗もつきものだからです」とカナム博士は言います。
バーニー氏も同意し、目標は完璧さではなく備えであるべきだと述べます。
「人はミスをしますが、責められるのではなく力を与えられていると感じれば、疑わしい活動を報告し、次の侵害を防ぐ手助けをする可能性が格段に高まります」と彼は言います。
心理学・行動科学の専門家を採用する
上記のベストプラクティスをすべて実践するために、組織が最も重要視すべきことの一つは、セキュリティトレーニングプログラムの設計・運営を誰に任せるかを慎重に考えることです。高パフォーマンスの組織は、カリキュラムや手法を刷新するために心理学者や行動科学者を積極的に採用し始めています。
「今では、技術者や人事担当者ではなく、心理学のバックグラウンドを持つ人材を求める求人が増えてきているのが本当に面白いです」とナース博士は言います。「行動変容の意味を理解し、それをセキュリティに結びつけられる人たちです。」
