これだけは伝えたい!セキュリティリテラシーを向上させる上で大切にしたい事
標的型メール訓練では、訓練メールに添付されたファイル、いわゆる「模擬のマルウェア」を開封してしまった人が誰か?を特定することが重要視されます。
模擬とはいえ、うっかりマルウェアを開いてしまうような従業員がいれば、それは組織にとってリスクとなり得るからですが、このような従業員について、今だからこそ白状しますが、過去、自分は大きな考え違いをしていました。そして、この大きな考え違いは、組織のセキュリティリテラシーを向上させる上で、重要なポイントでもあったのです。
訓練メールの開封者を罪人のように捉えるのは大きな間違い
標的型メール訓練を実施すると、少なからず添付ファイルを開封してしまう方がいます。その理由は様々ですが、数千人規模の組織になると、数百人といった数になります。
添付ファイルを開封してしまったということは、これが本物のマルウェアであれば、大変なことになります。それ故に、添付ファイルを開封してしまうような人は、まるで罪人のように捉えてしまう。ということはないでしょうか?
今でこそ話せますが、過去、自分はそのような捉え方をしていました。
添付ファイルを開いてしまうような人は、情報セキュリティに対する認識が薄いのだから再教育をしないといけない。訓練はそういった人達を見つけるためのものだと。
しかし、それは大きな間違いだったのです。
抜き打ちで訓練を実施することが何故、正しくないか?
従業員に訓練をすることを伝えた上で行ったのでは、訓練にならないということで、抜き打ちで訓練を実施する。という考え方があります。
抜き打ちで訓練を行うと、確かに訓練メールに引っかかってしまう方が出て、それなりの結果は出すことができます。
しかし、長い目で見た場合、抜き打ちで訓練を実施して良い結果に繋がるということはありません。その理由は、前節に記したことと大きく関係しています。
抜き打ちで訓練を実施する。ということの背景には、訓練メールに引っかかってしまうような人が居るから。という考えがあります。つまり、引っかかる人をあぶり出すために行うということです。
言い換えればこれは、「犯人捜し」をするようなもので、訓練を受ける側の立場に立って考えてみれば、いい気分のものではありません。
ましてや、添付ファイルを開いてしまったことについて、何故開いてしまったのか?、どうして怪しいと気づかなかったのか?などと詰め寄られ、個人的に呼び出されて再教育を受けさせられる。というように、まるで罪人のように扱われたのでは、たまったものではないでしょう。
できないことを責めるのではなく、成長した自分を感じてもらおう
添付ファイルを開いてしまった人をまるで罪人のように捉えるというのは、セキュリティ知識のある人が陥りやすい過ちかもしれません。
子供の教育においては、叱るよりも誉めて伸ばせ。ということがよく言われます。
教えたことを子供がなかなかできないことに業を煮やし、ついつい「何でこんな簡単なことができないんだ!」「何回言ったら分かるんだ!」などと口走ってしまう親は結構いるものですが、このように言ってしまうことで子供は萎縮し、伸びるものも伸びなくなってしまうというのは、子供の教育に関する話題の中ではよく出てくる話の一つです。
人は知っていることより、知らないことの方が多いものです。長い地球の歴史の中で積み重ねられてきた膨大な知識の量に比べれば、自分たちが持っている知識など、ごくわずかなものでしかありません。
つまり、知っているより、知らないことの方が断然多いのですから、知らないことがあったとしても何ら不思議なことではなく、知らないことを責めること自体がおかしいのです。
知らなかったことは知ってもらえばいい。ただそれだけです。
そして、知らないことを知るということは、今の自分は、前の自分よりも成長しているということです。成長した自分を感じることができるというのは誰もが嬉しいもの。だから、叱るよりも誉めて伸ばせ。なのです。
本当に責めるべきは、同じ過ちを何度も繰り返すこと
人間、知らないことはあるのですから、知らなかったのなら、それは単純に知ればいいことです。そして、同じ過ちは二度と繰り返さないようにすればいい。
しかし、知識を得てもなお、何度も同じ過ちを繰り返すとしたら、それこそ、その原因を突き止め、同じ過ちを繰り返さないようにすることが大事であることは言うまでもありません。
その原因が、本人の怠慢にあるとするなら、この時こそ「叱る」という方法も選択肢となりうるでしょう。
大事なことは、知識の無い人を悪者として扱うのではなく、知識の無い人には新たな知識を得てもらうことで、一緒に成長できたのだと感じてもらうこと。
訓練実施は犯人探しをする機会ではなく、新たな知識を得て自分が成長できる機会だと捉えてもらうようにする。
自分にとってプラスになることなら、それを嫌がるという人は居ないでしょう。
もし、訓練実施がなかなか受け入れてもらえない。というのであれば、訓練実施イコール犯人捜しのように捉えられていないか?また、自分自身、そのような考え方をしていないかどうか、今一度振り返って考えてみると良いかもしれません。
もし、そのような捉え方をされていたとしたら、その認識を改めることが、組織全体のセキュリティリテラシーが向上する大きなターニングポイントとなるかもしれません。
→次の記事へ( 注意すべきは、今日、何を口にするか? )