第11話 PDCFAのサイクルを回そう
折角訓練を実施しても、おきまりのアンケートを取って「効果がありました」と予定調和的な報告して終わり。では、あまりにも勿体ないです。貴重なフィードバックが得られたなら、さらなる飛躍に繋げるためのアクションプランを考え、実行したいものです。P(Plan)D(Do)C(Check)F(Feedback)A(Action)のPDCFAサイクルを回していくには、訓練を実施し、結果を報告した後も、アクションを継続して行っていくことが必要です。
PDCAサイクルをより実践化する、PDCFAサイクル
訓練を実施しても、目に見えて効果が無ければ上層部も納得しないので、予定調和的なアンケートも決して無駄というわけではないのですが、それだけではやはり一過性のこととして終わってしまい、半年も経てば、訓練を実施する前とあまり変わっていない。というようなことはありがちです。
訓練をやっていることを外部にアナウンスすることで、セキュリティ対策に熱心な企業であると思ってもらえたり、攻撃者に対してはガードが堅い組織だと思わせることができるので、訓練をやるだけでもそれなりの価値はあるわけですが、折角訓練を実施するのですから、一過性のこととして終わらせないようにすることで、一つでも多くの成果を手にできるようにしたいところです。
普通ならここで「PDCAサイクル」という言葉が出てくるところですが、ここではあえて「PDCFAサイクル」と書いています。
「PDCAサイクル」をもう一歩進めた形とでも言ったらいいでしょうか。訓練を実施して、標的型攻撃メールの脅威や、気づき方について知ったとしても、それが日々の習慣として実践されなければ意味がありません。
巧妙なメールに騙されてから「ああ、そういえば!」と思い出したところで遅いわけです。標的型攻撃メールの被害に遭わないようにするには、ちょっとした違和感を見過ごしてしまうことのないよう、常に攻撃の可能性にアンテナを張るということを「習慣」として身につけてもらう事が必要です。
しかし、習慣のない人に習慣を持つよう話をしたところで、それがすぐに習慣として身につくものではありません。何でもそうですが、新たな習慣を身につけるには、「継続」が必要です。しかし、独力で継続を維持するというのは大変です。個々人に任せる形では、意志の強い人ならできるかもしれませんが、そうでない人にはなかなかできるものではありません。
そこで、日々のセキュリティ対策について、会社側から個人へのフィードバック、また、個人から会社へのフィードバックというように、双方でフィードバックをしあうことで、お互いに常に気づきを得る仕組みを作り、次の具体的なアクションへと繋げていく、また、それが実際に実践されるという状況を作り上げていくことが望まれます。これが、PDCAサイクルをもう一歩進めたPDCFAサイクルです。
習慣化するには、習慣化を妨げる要因を排除する
セキュリティについて毎日考えているというのは、セキュリティ担当者か、その業界の人くらいのものでしょう。普通の人は、セキュリティに関する話は耳にしても、それについて考えるということはあまりないはずです。安全な生活環境が確保されている日本では特にそうかもしれません。
ちょっと気を抜けば強盗に襲われる。そんな環境なら、誰もが自分の身を守ることに自然と敏感になります。黙っていても周りの環境からプレッシャーを与えられるので、必然的にそうなるというわけです。
しかし、安全なオフィスに居て、大きな被害に繋がるような攻撃メールも希にしか送られてこないような状況なら、自分の身を守らなければならないようなプレッシャーがないので、気をつける必要性がありません。気をつけなくても大丈夫なら、自然と気をつけることもなくなってしまうのは自然な道理です。
また、習慣化することが必要だということを理解したとしても、それを実行に移しにくい状況にあったら、やはり習慣化には繋がりません。例えば、周りの誰もやっていなかったら、それがどんなに大事なことだとわかっていても、自分だけ実行するのは抵抗を感じるはずです。誰もが赤信号を無視して道路を渡っているのに、自分だけ信号を守るのは気が引ける。という心理と同じです。
プレッシャーのない環境と、周りの雰囲気という二つの要因は、習慣化を実現する際の大きな壁となります。最初は良かったけれど、いつの間にか誰もやらなくなってしまった。というのは、まさにこの壁を越えることができなかったからに他なりません。しかし逆にこの壁を取り除くことができれば、習慣化の実現に近づけられると考えることもできます。そこで登場するのが、「PDCFAサイクルを回す」ということです。
訓練実施後のアンケートや理解度測定によって、各個人において実施すべきアクションを引き出し、今後のアクションとして実践していくことを促す。しかし、個人に任せきりでは実践を続けていくパワーに欠けるので、各個人へのフィードバックという形で、時折プレッシャーを与えると共に、実践しないことが「善」とならないよう、個々が所属する組織対してもプレッシャーを与え、やらなくてもいいんじゃない?という雰囲気が芽生えるのを防ぐようにする。
とはいえ、一方的にプレッシャーを与えるのでは「やらされ感」を感じてしまうだけなので、セキュリティ担当側へのフィードバックも受け入れ、相互にプレッシャーをかけ合う状況と、今の状況をより良くしていこうという雰囲気を醸成し、次に繋げていこうとする流れ、イコール、PDCFAサイクルがどんどん回る状況を作る。これこそまさに理想の姿と言えるでしょう。
理想を追い求めることよりも、まずはアクションを継続すること
PDCFAサイクルを回し、個々人そして組織全体でセキュリティ意識を高め、日々実践する状況を作ることは理想ですが、それが簡単にできるようなら、このようなページは不要であり、どの組織においても既に実践ができているはずです。しかし、そうなっていないというのは、これを実現することがどれだけ難しいか?を示していると言えます。
しかしながら、難しいからといって取り組むことをしなければ現状のままで有り、標的型攻撃から組織を守ることもおぼつきません。標的型攻撃にいいようにやられるわけにはいかないと考えるのであれば、難しいからといって、取り組まないという選択をすることはありえませんが、難しい課題に取り組むのはパワーも必要ですし、精神的な強さも必要です。
理想を追い求め、いきなり難題に取り組むのは、セキュリティ担当者のみならず、組織全体が疲弊することに繋がってしまいますから、理想は追い求めつつも、現実的に可能なことから取り組んでいくこと、そして、それを継続することが、現実的な選択ということになります。
例えば、最初はセキュリティに関する情報を定期的に従業員に送付するだけ。といったことでも良いと思います。大事なのはそれをやめてしまうことなく、継続して続けていくこと。そして、常にフィードバックを得ながら、改善と実践を続けていくこと。訓練も、一度やっておしまいとするのではなく、些細なことでもいいから、前回の課題を改善をしながら、継続して実施していくこと。
セキュリティ担当がやめてしまったら、従業員もやめてしまいます。セキュリティ担当自らがPDCFAサイクルを止めることなく続けていくことが、組織のセキュリティレベルを向上させるためには、何より必要なことであると思います。
訓練を実施したら、アンケートや理解度測定を活用して、次に繋げるためのヒントを集め、小さな事でも良いので、具体的なアクションとして実行していきましょう。年間を通してこれを繰り返す流れを作れば、自然とPDCFAサイクルも回るようになるはずです。
例えば、訓練を年1回の実施としてしまうと、次の訓練を実施するまでの間が空いてしまい、PDCFAサイクルも途中で息切れしてしまうかもしれませんが、年に2~4回実施することにすれば、次の訓練実施までの準備作業を考えれば、あっという間に次の訓練実施タイミングがやってくることになるので、息切れしてしまう暇もないということになります。
訓練の実施回数を増やすというのは難しいことでも何でもありません。単に「やる」と決めるだけです。このように、年間の作業・イベントを実施することを仕組み化してしまい、意識する・しないに関わらず、モチベーションが下がりようがない、大事なことを忘れてしまいようがない状況を作り出すことは上手い方法だと思います。
「セキュリティ教育の仕組み化」なんて考えたこともない。という方は、これを機に是非考えてみていただくことをお薦めします。
→次の記事へ( 第12話 次回の訓練実施に向けての課題の抽出 )