怪しいと自然と気づいてもらえるようにするための、効果的な方法

どんな標的型攻撃メールが送られてこようとも、誰もがすぐにそれと気がつき、引っかかるようなことは絶対にない。セキュリティ担当者であれば、できうる限りそうであって欲しいし、また、そのようにしたいと思うものです。

送られてきたメールが攻撃メールではないか？と気づくようにする。難しいことのようですが、実は訓練を繰り返すことによって、誰でも簡単にできるようになります。そして、それは難しい訓練をするというようなことではなく、たった１つのことをやるだけで、あとは脳が勝手に働いてくれるようにするだけなので、苦労して身につけるようなことでもありません。

その、「たった１つのこと」とは、脳に「質問」を投げかけるということです。わかりやすく云えば、常に「アンテナを張っている」状態にする。ということです。

マーケティングの世界では当たり前のように云われ、行われているテクニックとして、「良いアイデアが欲しかったら、自分の脳に、良いアイデアを出すための質問をしろ」というものがあります。広告のアイデアを考える際に、自分の脳に「良い広告の実例はないか？」と質問すると、街中に無数にある広告の中に良い広告があれば、それに気づきやすくなる。というのが一つの例です。

もっとわかりやすく云えば、「ラーメンが食べたい」と思うと、ラーメン屋さんが目に付きやすくなる。というようなことです。

セキュリティ対策においてもこの原理は有効で、セキュリティ事故に繋がる様々な要素に対して常に「アンテナが張った」状態にしておけば、脳が自然とそれに気づき、うっかりによるミスを防止するのに一役買ってくれるというわけです。では、このような状態にするにはどうすればよいか？というと、２つの方法があります。

１つ目は、こちらから質問を投げかけ、答えを探させる。ということです。セキュリティ教育の効果測定方法として、攻撃メールかどうかを見分けさせるといった事などはこれにあたります。

２つ目は１つ目の逆で、相手に質問を考えさせる。ということです。攻撃メールの文面を考えさせるような課題などは、まさにこれにあたります。

攻撃メールに関する質問を脳に投げかけることにより、脳は自然と攻撃メールに対してアンテナを張るようになります。そしてこれが気づきに繋がります。「答えを知りたい・出したい」という欲求を持たせることは、自然と気づいてもらえるようにするには、実に効果的な方法です。

セキュリティ教育の効果をアップさせたいと考えているなら、この点を踏まえて構成や方法論を考えることをお薦めします。