セキュリティ意識向上トレーニング:知識のあるユーザーですら、騙される可能性があります

本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/security-awareness-training-knowledgeable-users-can-still-get-burned」の翻訳です。

すべてのサイバーセキュリティへの取り組みと同様に、セキュリティ意識向上トレーニングプログラムにも、測定可能な目標を設定する必要があります。その一方で、サイバーセキュリティ教育(またはあらゆる種類の教育)によってユーザーの操作ミスを完全に無くすことはできないことも理解しておく必要があります。

知識の獲得がすべての操作ミスを無くすわけではありません

サイバーセキュリティについての話ではありませんが、詐欺についてのエイブラハム・リンカーンの有名な言葉は、サイバー攻撃にも十分当てはまります:

「You can fool all the people some of the time, and some of the people all the time, but you cannot fool all the people all the time.(すべての人々を一時、そして一部の人たちを常に騙すことはできるが、すべての人々を常に騙すことはできない。)」

サイバーセキュリティ教育はこれらの「some(一時/一部)」を縮小するのに役立ちます。しかし、どれだけ多くのトレーニングを受けても、ユーザーが完璧になることはありません。これは、熱いストーブに触れてしまうような単純な事故の場合にも当てはまります。

人生のある時点で、私たちは皆、熱いストーブに触れると火傷することを学びました。何人かは、実際にそれを経験せずとも、親や教師からの警告を十分に理解することで学んだかも知れません。しかし、ほとんどの人は実際に火傷を経験することで学んだのではないでしょうか。

この喩えは、Proofpointの継続的トレーニングの手法で採用されている学習科学の原則に 「ハンズオン・プラクティス」が含まれている理由を示しています。特定のシナリオの元で、自らが下した意思決定の結果を経験することで、強力な関連性を体験できるからです。

しかし、すでに書いたように、知識だけでは完璧ではありません。熱いストーブの喩えをもう一度考えてみましょう。熱いストーブが私たちを火傷させる可能性があることをわかっていたとしても、それで私たちが「絶対に火傷しない」わけではありません。注意が十分ではなかった…急いでいた…「ボーッとしていた」… これらの問題やその他の問題は、たとえ「知っていた」としても、いつでも私たちに危害を加える可能性があります。

適切な行動と適切な対応を教える

それではこれは、トレーニングが不要であるということを示しているのでしょうか? それは明らかに違います。ユーザーには、潜在的なリスクのある状況、または危険な状況に直面した場合に取るべき適切な行動について明確に教えておく必要があります。しかし同時に、誤って火傷を負ってしまった場合の適切な対応方法についても、教えておく必要があるということです。

何よりも、ユーザーに「何が起こったのか」を隠して欲しくないのです。それは問題を悪化させ、拡散させるだけです。その代わりに、ユーザーにサイバーセキュリティにおける操作ミスがもたらす潜在的な影響を理解してもらい、問題を認識した時には助けを求めるよう教えてください。疑わしい電子メールを報告することの重要性を理解してもらい、攻撃者の手口に騙されてしまったと思われる場合であっても(むしろその場合は特に)、知らせてもらうようにします。   

エンドユーザーとの間のコミュニケーションラインを、常にオープンにしたままにしておいてください。そして、過度にユーザーに期待しないようにしてください。完全な行動は確かに最終的な目標ですが、「攻撃の方程式」の両側で起こる可能性があることを認識することが重要です。

 

 

 

Proofpointについて
Proofpoint Inc.(NASDAQ:PFPT)は、人々の働き方を守るクラウドベースのソリューションを提供する次世代の主導的セキュリティ/コンプライアンス企業です。Proofpointのソリューションは、電子メール、ソーシャルメディア、モバイル、クラウドアプリケーション経由で行われる高度な攻撃からユーザーを保護し、高度な攻撃やコンプライアンスリスクからユーザーが作成した情報を保護し、インシデント発生時には迅速に対応できます。詳細はwww.proofpoint.com/jpをご覧ください。

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります

www.proofpoint.com/jp