第5章 ユーザー教育 ユーザ教育

セキュリティに対する意識は、ほとんどの組織で欠如している。ユーザをセキュリティについて教育するための最良のアプローチは、適切なメトリックを用いて、変革の実装に成功し、より安全な防衛ラインを作り出していることを実証する方法を発見することである。情報セキュリティ業界の大部分は、境界セキュリティ、仮想プライベート・ネットワーク（VPN）、ウェブ・アプリケーション・ファイアウォール（WAF）、電子メール・フィルタリングなどに焦点を当てている。しかし、厳密なデータ・レベルの保護から、ユーザ・レベルのセキュリティとレポーティングへの重点が高まりつつある。多層防御の考え方と、プロセスとしてのセキュリティの見方は、フィルターリングされ、ユーザトレーニングに組み込まれなければならない。

特定のセクターを防衛するためのより良い方法を教えてくれるかもしれない脅威インテルにお金を使う前に、誰もが攻撃されているところから始めるのは良い考えだ。今日、最大の脅威のひとつは、最も脆弱な「人」を標的にしたものであることに変わりはない。2023年ベライゾン・データ漏えい調査報告書（DBIR）によると、「全漏えいの74％は人的要素を含んでおり、エラー、資格情報の悪用、盗まれた資格情報の使用、ソーシャル・エンジニアリングによって人が関与している。攻撃者が組織にアクセスする3つの主な方法は、盗んだ資格情報、フィッシング、脆弱性の悪用である。(ベライゾンは2024年にメトリックを更新し、人為的エラーと人為的標的型攻撃の違いを分離するため、ユーザが関与した侵害は68%に過ぎないことを示した)

この章では、大半の組織で提供されている基本的なトレーニング以上の価値を提供する方法を示す。

壊れたプロセス

この業界における経験と時間から、多くの組織が従業員に毎年（場合によってはそれ以上の頻度で）受講を義務付けているコンピューター・ベースのトレーニング（CBT）は、ガバナンス、リスク、コンプライアンスに対するチェックボックス方式のアプローチに匹敵する効果を持つことが分かっている。これは破綻したプロセスである。従業員は、雇用を継続するためにこのトレーニングを修了し、合格することが求められるが、一旦トレーニングが終わると、、それを保持するための意識的な努力がなされない場合、カバーされた情報は急速に忘れ去られてしまう。これは、エビングハウスの忘却曲線（図5-1）として知られており、最も重要なところで大きな断絶をもたらす。セキュリティにおける最も大きなギャップが証明されているのは、エンドユーザがこの情報を日常業務に持ち込まない場合である。

図5-1. エビングハウス曲線を表すグラフ

能動的想起に基づく反復、この効果を回避するために他の分野で有効であることが実証されており、したがって、このような意識向上プログラムは基礎的なデザインに基づくべきである。エビングハウスは、ニモニックテクニックの基本的な訓練が、忘却速度の速い人と遅い人の間の成績の差を克服するのに役立つという仮説を立て、「記憶力を高めるための最良のメソッドは以下の通りである」と主張した：1)よりよい記憶表現（例えば、ニーモニックテクニック）、2)能動的想起に基づく反復（特に間隔をあけた反復）である。"と主張している。 ...