セキュリティ研修をやっても成果が出ない、たった一つの理由

あなたがこのページを見ているということは、あなたの会社ではセキュリティ研修を実施されているか、これからセキュリティ研修を実施しようと考えているということかと思います。

そこで、あなたに質問したいのですが、あなたがセキュリティ研修を実施するのは何故でしょうか？

もし、あなたの答えが、

「何故？って、そりゃあ、セキュリティ対策しないと危ないからに決まってるじゃないか」とか、
「今時セキュリティ対策していない企業なんて、さすがにマズいだろ」

といった主旨の回答であったとしたら、あなたの会社のセキュリティ研修は、相当に高い確率で成果が出ない可能性があります。何故でしょうか？

重要な顧客データの閲覧を許可制にすると・・・

セキュリティ対策の一環として、顧客の氏名や住所など、万一、外部に漏れてしまったら大変な問題になるデータについて、申請によって管理者の許可を得ないとアクセスを不可にしている企業も多いと思います。

そのような対策をすると、現場ではどのようなことが起きるか・・・？

都度申請を行い、管理者に許可を得るのは面倒だとして、１度許可をもらって取得したデータを自分の手元に置いておく。といったことを始める人達が現れるのです。

こうした人達の言い分は、「申請をすると許可がもらえるまでに時間がかかり、お客様からの要望にすぐに応えることができない。」など、お客様のことを第一に考えるが故の行動である。といった主旨のことをその理由として挙げます。

しかし、自分のノートパソコンやUSBメモリなどに顧客情報を入れたままであるため、何らかのきっかけでうっかり紛失すれば、情報漏えいのインシデントが起きてしまうことになります。

情報漏えいを起こさないために顧客データの閲覧を許可制にしたのに、情報漏えいのインシデントが起きる。何とも皮肉な話ですが、現実にはそのようなことが起きてしまっています。

手段が目的になっていませんか？

セキュリティ対策やセキュリティ研修は何のためにするのでしょうか？

どのようなことであれ、何かをするということは、何かしらの目的を達成したいから。であるはずです。何の目的も達成されない、つまり、やってもやらなくても何も変わらない。のであれば、やる意味などないことは自明の理です。

しかし、世の中では、やってもやらなくても何も変わらないのに、どういうわけか、それをやろうとする。ということがあります。簡単に言えば、やること自体が目的になっている。ということです。

あなたの会社で実施しているセキュリティ対策やセキュリティ研修を今すぐやめてしまったら、どのようなことが起きるでしょうか？

もし、今すぐやめたとしても何も変わらないかも。というのであれば、やること自体が目的になっている可能性は相当に高い可能性があります。

しかし、あなたはこう仰るかもしれません。「研修ではセキュリティ対策をすることの重要性をしっかり伝えている。研修を実施すること自体が目的になっているなんてことは決してない」と。

思考を停止させてしまっていませんか？

セキュリティ研修を実施するに際してありがちな間違いは、方法論やルールだけを伝えてしまう。というやり方です。

例えば、「情報漏えいが起きると信用失墜に繋がる大問題になるので、パスワードは定期的に変更しましょう。」というのは典型的な例と言えます。

教えている内容自体は間違いではありませんが、この例のように言われると、たいていの人は、「パスワードを定期的に変更する」ということだけ覚えて、それ以上の事は何も考えないものです。

パスワードを変更することは大切ですが、推測しやすいパスワードを使いまわして変更していたのでは意味がありません。

パスワードを変更しなければいけないのは何故なのか？

この背景として、悪意を持った攻撃者がどのような方法でパスワードを盗もう、また、解析しようとしているのか？を教えなければ、推測しやすいパスワードを使いまわすような人達が出てきてしまいます。

方法論やルールを伝えることも必要ですが、それだけを伝えたのでは、それさえすればいいとして、そこで思考停止に陥ります。研修による成果を出したいのであれば、思考停止に陥らせるのではなく、逆に自分で思考するよう仕向けることです。

標的型メール演習のように、自ら体験してもらうことは、自分が思考停止に陥っていることを気づかせ、自分で思考するよう仕向けるきっかけとなります。

もし、あなたの会社で実施している研修では、なかなか成果が出ないと感じられているなら、研修の内容が、受講者の思考を停止させるような内容になっていたりしないかどうか、方法論やルールだけ伝えて、自分で考えさせるような内容になっていないかどうか、見直してみるといいかもしれません。