模擬のマルウェアを開いてしまった人と、座学による教育研修の相関は・・・
組織のセキュリティ対策として、e-ラーニングや研修ビデオ教材などを利用して、従業員に定期的に研修を行っている組織は多いと思います。しかし、標的型攻撃メール演習の実施となると、数が減ってしまうのが実状です。
予算や時間がないなどの理由もあるとは思いますが、定期的に研修を行っていて、従業員からも「よく理解できた」という声を聞いているので、それで十分なんじゃないの。と考えている組織も多いのではないでしょうか?
今回は、そのような認識は、もしかしたら間違っているかも。と思わずにはいられない実例をご紹介します。
次に示す数字は、何を表す数値か分かるでしょうか?
以下に4つの数字を並べてみました。さて、この数値、何の数値かわかりますでしょうか?
125、148、63、12
実はこの数値、ある組織で行われた標的型攻撃メール演習で、模擬のマルウェアを開封してしまった人の数なのですが、実はこの数値、左から順に、事前に行った座学によるセキュリティ研修で、「非常にためになった」「ためになった」「どちらでもない」「ためにならなかった」と回答した人の数でもあるのです。
つまり、標的型攻撃メールの演習を実施してみたら、模擬のマルウェアを開いてしまった人の約8割が、座学によって「よく理解できた」と回答した人達だった。というわけです。
学習効果が無かったと思われる人が模擬のマルウェアを開いてしまうのならともかく、「よくわかった」と言っている人達があっさりと模擬のマルウェアを開いてしまっているという事実は、注目に値すべき事です。
研修実施後のアンケートの結果はそもそも当てにならない
訓練実施の手引き「第10話 次回に繋がるフィードバックを得よう」でも取り上げていますが、研修実施後に実施されることの多いユーザアンケートは、予定調和的な結果になりがちです。
研修を実施するのは、理解を促進することが目的だということはわかりきっていますので、面倒なことは避けたいという心理から、アンケートを実施しても、「よかった」とか「ためになった」といった回答が選ばれがちになります。
「ためにならなかった」などと下手に回答して、再度研修をやり直しさせられたりしたら、たまったものではないからです。
そのような心理的バイアスがかかるアンケートの結果が当てになるはずがありません。模擬のマルウェアを開いてしまった人の約8割が、座学によって「学習効果があった」と思われる人だった。という事実は、まさにこのことを証明しているというわけです。
研修するなら、Inputだけでなく、Outputもセットで
何を学習するにおいても、InputしたものはOutputすることで、より身につく。というのはよく言われることです。
頭で分かった気にならないで、実際にやってみる。ということですね。
実際にやってみると、分かった気になっていたということはよくあります。あなたも、同じような思いをした経験が、一度や二度はあるのではないでしょうか?
座学による研修は、それはそれで大事ですが、分かった気になっているだけ。ということは往々にしてあります。
研修実施後のアンケートで「よく理解できた」等と回答していても、その回答は鵜呑みにしたりせずに、Outputとなる実践、実体験をセットで実施することは、是非お奨めしたい施策です。
頭で理解したこと(Inputしたこと)を実践する(Outputする)機会を提供することより、本当に理解ができているのか?を当人に気づいてもらう、また、研修を実施する側としても、どこまで当人が本当に理解ができているか?について、客観的な事実を元に把握する。ということは、研修の効果を考える上では、是非とも抑えておきたいところです。
→次の記事へ( あなたの組織は「紺屋の白袴」?とにかく一度やってみるべし! )