攻撃者は相変わらず人々を狙っており、詐欺や脅し、人の心を操作するなどの手法を高度化させ、ユーザーに組織を危険にさらすアクションを起こさせようとしています。
セキュリティ意識向上トレーニングは、攻撃者がユーザーに危険なアクションや行動を起こさせるために使用するテクニックに騙されないようにするために必要な知識を提供し、セキュリティ意識を向上させます。しかし、ユーザーに効果的な体験を十分に提供できない場合、セキュリティ意識向上トレーニングは困難なものになる可能性があります。ここでは、ユーザーの興味と関心を維持するために役立つヒントを紹介します。
トレーニングプログラムをブランディングする
組織は、セキュリティ意識向上トレーニング プログラムのブランド化を検討する必要があります。セキュリティ意識向上トレーニング プログラムに適切な名前を付けることで、ユーザーはトレーニングの目標を理解し、より効果的なものにすることができます。たとえばEU一般データ保護規則(GDPR)のについてのトレーニングであれば、組織はユーザーに、EUの顧客データの取扱いに際して細心の注意を払って欲しいと考えます。
これを単に「GDPRトレーニング」と呼んでしまっては、ユーザーはそれほどの興味を感じないでしょう。もっと良いタイトルは、たとえば「データプライバシーの保護者になる」などです。このタイトルは、目的(データプライバシー)とユーザーの役割(プライバシー保護への積極的な貢献者)を明確に強調しています。あるいは貴社では、より実践的なテーマで、直接的なアプローチを求めているかも知れません。その場合は、トレーニング プログラムにフィッシング、ソーシャル エンジニアリング、メール、在宅勤務など、特定のテーマに関連した名前を付けるほうが良いかも知れません。
学習科学の原則を活用する
「学習科学の原則」は、成人の行動に効果的に変化を起こさせることが証明されています。この原則には、最高の学習効果を実現し、それを長く維持するためのコンセプトとテクニックが含まれています。概念と手順についての知識を提供し、ユーザーに全体像と具体的な演習を提供します。
- 少しずつ提供する:トレーニング時間を数分から数時間に抑え、できるだけ単一のテーマに集中します。
- 演習を補強する:フィードバックを行い、トレーニングの継続とセキュリティ意識の持続を可能にします。
- コンテキストに沿ったトレーニング:ユーザーのロールと、それが直面している脅威に関連したトレーニングを割り当てます。
- すぐにフィードバックする:トレーニングやフィッシング演習に関する結果をリアルタイムに提供します。
- 学習のペースをユーザーに任せる:誰にも、自分に合った学習速度があります。
- ストーリーを伝える:現実世界で起こっている実際の例を使います。
- メッセージに多様性を持たせる:テーマに、言い回しや表現が異なる複数のコンテンツセットが含まれるようにします。
- ユーザーを引き留める:インタラクティブなコンテンツと演習により、学習効果を確実に維持します。
- ユーザーに考えさせる:演習では、ユーザーが自分の知識を実践できるかどうかをテストしなければなりません。
- 効果を測定する:ユーザーを事前に評価し、学習の進捗を継続的に追跡します。
多様なコンテンツとメディアでトレーニングへの興味を保つ
コンテンツの配信方法を、アクティビティとチャネルによって定義します。「Rule of 7(7の法則)」は、ユーザーにエンゲージするまでに、少なくとも7回広告を表示する必要があることを示しています。どのようなセキュリティ意識向上トレーニング ソリューションを使うかに関係なく、いくつものアクティビティとチャネルを使用してメッセージを伝えることをお勧めします。以下はサンプルです。これがすべてではありませんが、アクティビティとチャネルの良い例です。
| アクティビティ | チャネル |
| シミュレーション(フィッシング、USB、SMSなど) | セキュリティ意識向上トレーニングツール |
| 知識の評価 | セキュリティ意識向上トレーニングツールまたは調査ツール |
| Very Attacked PeopleTM(VAP)の特定と監視 | 脅威インテリジェンス/メールゲートウェイ |
| コンピュータベースのトレーニング | オンライン プラットフォームまたはその他の学習管理システム(LMS)を使ったセキュリティ意識向上トレーニング モジュール |
| セキュリティ意識向上キャンペーン | ポスター、ビデオ、ポッドキャスト、ウェビナー、ゲストスピーカー、インフォグラフィック |
| 対面でのセキュリティ意識向上とトレーニング演習 | ランチ&ラーン、企業イベントでのブース出展、企業イベントでの発表、対面でのトレーニング、サイバーエスケープルーム |
| コンテスト/ゲーミフィケーション | ニュースレターやwikiなどの既存の企業チャネルを通じてトレーニングの進捗状況を確認 |
| セキュリティ意識向上に関する情報 | 会社のwiki、イントラネット、または共有の会社のイベント予定 |
| セキュリティ意識向上のためのアップデート | 会社のニュースレター、チャット アプリケーション チャネル、または別部門のコミュニケーションに統合 |
| セキュリティ意識向上トレーニング プログラムに関するユーザーからのフィードバック | 調査ツールまたは共有メールボックス |
| ユーザーからのフィッシング報告 | クライアントからレポートするためのアドイン ソリューションまたはabuseメールボックスのアドレス |
部門と役員によるサポート
セキュリティ、マーケティング、人事部門、および役員は、セキュリティ意識向上トレーニング プログラムにおいて重要な役割を担います。
- セキュリティチームは、コンテンツを改善して企業のポリシー(パスワードポリシーなど)に適合させるための推奨事項を作成できます。また彼らは、ターゲットとされている人々、またはトレーニングを必要とする可能性のあるユーザー(機密データを扱うグループなど)を特定できます。
- マーケティングチームは組織のブランディングを行っているため、セキュリティ意識向上資料の作成に関与できます。
- 人事チームは、組織の活動について助言し、経営幹部や基幹業務(LOB:Line of Business)のリーダーとの連携に関する知見を提供できます。
- CISO(またはその他の主要なCxOまたはLOBリーダー)は、トレーニングのサポートを表明し、プログラムの重要性を強調できます。
ユーザーを正しい行動に導く(飴と鞭)
セキュリティ意識向上トレーニングでは、ユーザーからの反発や無関心を回避するために、プログラムへの前向きな理解が必要です。上に記した手順は、肯定的な認知を生み出し、セキュリティ意識向上プログラムの価値と受容性を最大化するのに役立ちます。
ほとんどの組織には、セキュリティ意識向上トレーニングにおいて「鞭」のアプローチがありません。しかしごくまれに、ユーザーが反発し、このアプローチが必要になる場合があります。このような場合、トレーニングポリシーを維持するために、「鞭」タイプのプログラムが必要になります。これらのプログラムは最後の手段となるはずですが、組織がこれらの結果責任モデルのプログラムを用意した例をいくつか示します:
- シミュレートされたフィッシングメールを3回クリックしたユーザーに、マネージャーとの面接や一時的なネットワークアクセスの制限、アクセス権の制限などを課す「スリーストライク(三振)」プログラム
- 人事部門への通知、金銭/特典の削減、あるいは解雇(非常に稀なケース)
ベストプラクティスとしては、最後の手段として結果責任モデルを用意しながら、「飴」スタイルのプログラムに注力することです。過度に「鞭」に依存することは、ユーザーがセキュリティ意識向上トレーニングプログラムから離反したり、エンゲージできなくなる可能性を高めます。しかし、規制の厳しい業界や、特に重要な情報を扱う業界の場合、これらが必要になる場合もあります。
結論
これらの5つの原則に従うことにより、セキュリティ意識向上トレーニング プログラムは、組織に測定可能なメリットをもたらすと同時に、前向きで楽しめるユーザートレーニングとアクティビティを作成するための最適なフレームワークを備えることができます。これらの原則は、さまざまな業界のProofpoint Security Awareness Trainingのお客様によって、リスクの低減、運用コストの削減、プライバシー コンプライアンスの遵守に利用されています。
セキュリティ意識向上トレーニングを無料でお試しいただけます。お試しになりたい方は、こちらからお申し込みください。