仕事・立場柄いろいろ相談されることが何気に多かったりしますが、「なかなかリテラシーが向上しない」というお悩みを聞くことが多いです。 お話を伺うと、90%〜95%のスタッフは向上させることができているのに、残り5%〜10%が割れない岩盤のようだ、とかそんな印象をお持ちのようです。
また、「学習機会を設けても意識の高い人は参加・受講してますます意識が高くなるが、一番聞いて欲しい・参加して欲しい人たちが来てくれない」とも聞きます。 わたし自身も長年人材育成に携わっていて、0→1の啓蒙啓発というのが最も手強い、と実感したりするので、このご意見には首がもげるほど同意したい(笑)。
そういう割れない岩盤な人たちにはどう対したら良いでしょうか。良く言われるのが「自分事として認識してもらう」というようなことですが、岩盤な人たちは全く自分事と思ってない、感じてないように思えて仕方ありません。 イザとなったら誰かが何とかするだろう、例えば何ともならなくても自分には降りかかってこないだろう、というようなことを考えていそうな印象。 あるいは、忙しすぎて=他に自分が優先度が高いと思うことが多く、セキュリティを学ぶことに割く時間を作れない、と考えていそうでもあります。
確かに、今時のフィッシング詐欺の誘い込み手口は、あまりにも巧妙過ぎてプロですら見破れないほどだったりしますし、そうした巧妙さを巧みに模倣した怪しいメールを見破る訓練なども、 もしかしたらいたずらに疑心暗鬼の心を生じさせて業務の生産性を下げているようなことになっていたりしそうです。 専門家としては「怪しいと思う感覚」を何とか身に付けて欲しいと思っていますが、何でもかんでも怪しいと思うのは気づかれする上に生産性を大きく下げ、効果的な訓練であるとは言い難いと思ったりもします。
ではどうしたら良いか。そこで一つヒントになりそうなのが、われわれの展開しているプレCYDERの使い方です。 かつてこのコラムでもコンセプトについて紹介しましたが、 実際に起きた事件や事故について深掘りされたコンテンツを受講し、なぜ備えが重要なのか、インシデント対応にいきなり直面したときにどういうことが起きるのか、を疑似的に体験してもらう、というそのコンセプトはCYDERの受講前準備として設計されましたが、 複数の自治体さんが全職員に受講させたというご報告をいただき、なるほどそういう活用方法もありかも、と気づかされました。
かつてコンサルテーションを仕事としていたとき、冒頭のような「リテラシー向上」に関する悩みはどの組織にもありましたし、「マネジメント・経営層がリスクを自分事として捉えてくれず、 予算獲得に非常に苦労する」というようなその種の悩み応用例も多数ありました。 そんなとき経験則として「コンピューターウイルス感染体験」を勧めたりしていたのですが、その仕込みはけっこう効果的で、一気に意識が変わった、自分たちにも起こりうることだという認識を持ってもらえた、という声も多く聞かれました。
プレCYDERのケーススタディで生生しい事件の経過をトレースすることで、まさにウイルス同様の疑似体験が可能で、怖いと思う感覚を得てもらえるのではないか。 実際に全職員受講を推し進めた方々からは自分事コメントが聞かれた、という報告が来ていますし、さらに言えば複数のケーススタディを疑似体験的に経ることで、過剰に怖がりすぎない感覚を獲得できるのではないか、と考えています。
これは確かに脅しの一種ではありますが、適切な脅しは重要だと思います。ランサムウェアも派手に脅しに来ていますが、その演出を逆に訓練に活用した例もあります。 派手な脅しは身代金をとるための演出的な工夫なのですが、それをそのまま活用し、脅されるような事態にならないためにどこで気づくことができるのか。 事がはっきりと起きてからの訓練も重要だけれども、確定的になる前の兆候の時点でいかに早く気づけるか。 そのような形で訓練を構築し、結果として全社的な意識改革に成功した事例がいくつか報告されています (例:2-H-3-04:IT-BCPのベストプラクティス実践に向けた多面的アプローチ:橋本智広氏(大津赤十字病院)@2024医療情報学会連合大会 :freeeセキュリティチームの取り組み:茂岩祐樹氏@第五回九州セキュリティシンポジウム(KYUSEC)など)。 リアリティのある恐怖こそ人間の行動を変えやすい、ということでしょうか。
また、一つのパターンのインシデントを(疑似)体験するだけでは、過剰な恐怖を感じてイザという時にパニックになってしまうリスクがありますので、複数のケースを体験し、 「事件慣れ」「インシデント対応慣れ」してもらう必要があると現場の皮膚感覚では思っています。 複数のケースを体験することで落ち着いて対処できるようになる効果だけでなく、新たなパターンに遭遇したときであっても、どこかに近似性を発見して活路を見出すことができようになる、そんなメタ知見的な期待もあります。
プレCYDERは継続的に新作を制作していこうと考えていますので、こうした事例に力を得て、バンバンご活用いただければと思います。
