1.「身につく」学習コンテンツとは?
今や、従業員へのセキュリティ教育は一般的に行われていることですが、その結果はいかがでしょうか。実際に、セキュリティインシデントの発生は削減されたでしょうか?
メールによるフィッシング詐欺やうっかりミスによる情報漏洩...もし、セキュリティ教育を実施しているにも関わらず、それらのインシデントが頻繁に引き起こされているのであれば、学習事項が定着していない証拠です。
せっかく時間を割いて実施するのですから、効果的な内容を提供できれば良いですよね。ユーザの「記憶に残る」かつ、「身につく」コンテンツを提供するにはどうしたらよいか考えてみましょう。
2.組織が実施すべき学習活動
そもそも、効果的な学習とはどういったものでしょうか。学習は、下記3つの活動に分けられます。
①教育:望ましい学習成果に直接関係する理論や概念を説明し、学習者がこれらの考えを正しく理解し、有用な方法で応用できるようになること。
②訓練:獲得したスキルを、いつ、どのように使うかを判断することができる判断力を磨くことを含め、行動の熟練度を高めること。
③意識啓発(アウェアネス):学習者の注意をひきつけ、関心を持たせる活動。
現在実施されているセキュリティ教育は、上記をすべて満たしているものでしょうか。
各項目内容について見直してみてください。
①教育--テキストと動画コンテンツの違いを知る
まずは、"教育"で利用されるコンテンツについて考えてみましょう。下記のスライド画像をご覧ください。
一般的によくあるe-learningの内容で、もちろん上記内容自体に問題はありませんが...
こちらのすべてを読み終わるまでに、何分かかりましたか?
もしかして、途中で読むのを止めてしまいませんでしたか?
もちろん、興味があれば読むことに苦労はしないでしょうが、興味がない内容であればこれらを読むことに正直苦痛を感じる方もいるでしょう。
また、他に業務を抱えている状態でこれらを読み進めるのは辛いかもしれません。
では、同じ内容を動画コンテンツにした場合はどうでしょうか。
テキストスライドと同じ内容ですが、画像と声により、「文章を読み進める」という苦痛は軽減されたのではないでしょうか。
また、単純に文書を読み進めるよりも、画像などが印象に残りませんでしたか?
映像と音声により、ユーザへの理解を促進することが可能となり、教育効果が高まります。
また、単調なテキストが続くよりも、動画を用いることでユーザの苦痛を抑制することができます。
②訓練--実践的なメール訓練と失格者へのフォロー
次に、"訓練"の内容はいかがでしょうか。フィッシングやBEC詐欺対策としてメール訓練を実施されていますか?
こちらももし実施しているにも関わらずインシデント抑制の効果があまり見られないのであれば、訓練内容が現場と合っていない可能性があります。
メールを攻撃手段として用いてくる攻撃者は、社内情報に精通している可能性があります。
業務内容や担当者名、或いは上司や役職者の名前などは既に入手しているかもしれません。
昨今ではサプライチェーン攻撃が多いことから、取引先や関係会社などになりすましたメールを送ってくることも考えられます。
消防訓練などで実際に警報を鳴らして退避を行うように、属している組織で実際に起こり得ることが想定される事象について訓練しなければ意味はありません。
また、メール訓練において、開封してしまったユーザに対し、何か特別な対応はしていますか?
うっかり開封してしまったユーザは不運かもしれませんが、それもまた学びを得る最大の機会となります。
訓練における成績が重要なのではなく、インシデントを引き起こしたり、被害に遭わないようにすることが目的ですので、開封ユーザにはそうではない他ユーザよりも、より手厚いフォローが必要なのです。
③意識啓発--啓蒙・啓発の重要性
"意識啓発"の実施は、見落としがちな項目です。
或いは、教育と訓練は行っているものの、意識啓発については積極的に実施していない企業や組織もあるかもしれません。
以前は不自然な内容のものもあり、不正メールと判断するのに難儀することはあまりありませんでしたが、最近では正規のメールを巧妙に装い、受信者のアクションを促してくるため、判別が非常に難しくなってきています。
しかし、学習者が学習内容に対し、注意をひいたり関心を持たせることができなければ、行動形成に至る知識を習得することができません。
"なぜ学習する必要があるのか"を正しく理解できなければ、ユーザはおざなりに内容を覚えるだけになるので、本当の意味で身に着けることができないからです。
むしろ啓発を行うことで学習者の興味を引き、知識の習得や理解が効率的に進められることが考えられます。
3.学習コンテンツを作成する難しさ
学習コンテンツのポイントを確認できたかと思いますが、いかがでしたでしょうか。
このような効果的な"教育"、"訓練"、"意識啓発"を実施していますか?
"教育"、"訓練"、"意識啓発"のすべてを兼ね備えたコンテンツを一から作成することは、非常に困難です。
また、多くの企業や組織では、教育コンテンツの作成を専門にしている部門はないでしょう。作成者がそのために割く時間も限られているはずですので、上記コンテンツをセットすぐに利用することができる、クラウド型のセキュリティ教育製品を推奨します。