効果が上がらないセキュリティ教育、成果を得る方法は

The Hacker Newsは12月19日(現地時間)、「Are We Ready to Give Up on Security Awareness Training?」において、組織のセキュリティトレーニングの現状と、トレーニングの効果を向上させるための対策を解説した。

効果が上がらないセキュリティ教育は有効か？

The Hacker Newsによると、最近の組織はセキュリティトレーニングを信頼しており、サイバー攻撃の被害を受けると従業員トレーニングの投資が増加するという。IBMセキュリティの2023年のレポートでは、51%の組織がセキュリティ優先項目の2番目にトレーニングを挙げている。

しかしながら、組織では不安な行動を取る従業員が散見され、ソーシャルエンジニアリング攻撃は依然として有効な攻撃手段となっている。例えば、Microsoftの調査では、フィッシングのビデオトレーニングを受けた場合、クリックが3％程度しか軽減されていないことがわかった。この値は長年続いていることから、同社は『ビデオベースのトレーニングは効果的ではない』とその有効性に疑問を投げかけている。

セキュリティ教育の効果を上げる方法

トレーニングの効果がは従業員の関心の低さに原因があるとみられているが、これはトレーニングを怠る正当な理由にはならない。CybSafeの調査では従業員はインタラクティブで魅力的な刺激を求めており、これはダイナミックで実践的な体験の必要性を示しているという。

具体的には、トレーニングを日常業務に取り込むことが有効な対策になるとのことだ。しかしながら、ビジネスマンの仕事量は多く、納期に追われることもあるため、多くの組織で従業員の業務にトレーニングを組み込む時間的余裕はない。

そこで短時間にトレーニング完了できるように設計したセキュリティ企業が登場した。「Cybersecuritoons: A 6-minute online cybersecurity course」は、4つの学習コースを合計6分で完了することができる。

The Hacker Newsは、ソーシャルエンジニアリング攻撃が依然として有効な理由の一つとして、ヒューマンエラーを挙げている。トレーニングに成功しても、過多な業務やストレス、納期のプレッシャにより本来の能力が発揮できずに間違うことがある。そこで従業員のセキュリティ意識を向上し、トレーニングを成功に導くために、トレーニング用の休暇が有効と結論づけている。

従業員がトレーニングを怠ったり、不安な行動を取ったりする理由が時間不足にある場合は、トレーニング用の数日間の休暇が合理的な答えになるとして推奨している。