毎年やっても意味がない？ 「セキュリティ研修」を無駄にする“あの慣習”：「セキュリティ意識向上研修」の効果を高める方法【第2回】

「年に1度、必ずセキュリティ研修を実施する」。こうした取り組みはセキュリティを向上させる上で効果がありそうだが、実はある“欠陥”があると専門家は語る。それは何なのか。

[Isabella Harford，TechTarget]

　第1回「『情報漏えいを引き起こす内部関係者』の半数以上は“あんな人”」は、セキュリティベンダーProofpointが2022年1月に発表した調査レポート「2022 Ponemon Cost of Insider Threats Global Report」を基に「『内部脅威』によるデータ侵害」の増加を紹介した。

　内部脅威によるデータ侵害とは、内部関係者の過失、内部関係者の窃取された認証情報、悪意のある内部関係者に起因するデータ侵害を指す。第2回となる本稿は、こうしたデータ侵害を防ぐために企業が実施する「セキュリティ意識向上研修」の効果が出にくい理由を紹介する。

「毎年実施」はむしろ無駄？　セキュリティ研修の効果が出にくい理由

併せて読みたいお薦め記事

連載「『セキュリティ意識向上研修』の効果を高める方法」

• 第1回「『情報漏えいを引き起こす内部関係者』の半数以上は“あんな人”」

「セキュリティ」関連の注目トピック

• “役立たずのWindows Defender”が「Microsoft Defenderウイルス対策」になって大人気の謎
• 無料で使える「Microsoft Defenderウイルス対策」のスキャン機能は使い物になるのか？
• Windowsの無料セキュリティ「Defender」シリーズ　主要ツールの違いは？

　企業は一般的に、セキュリティ意識向上研修を毎年実施している。こうした研修の本来の目的は、リスクの低減やセキュリティの向上だ。だが企業によっては、以下のような標準や規制に準拠したり、サイバーセキュリティ保険の規定を満たしたりするために実施している。

• 「NIST 800-53」（米国連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策）
• 「ISO/IEC 27002」（情報セキュリティ管理の実施規定）
• 「EU一般データ保護規則」（GDPR）

　「年に1回の研修を実施してもリスクは減らせない」と調査会社Gartnerのディレクターアナリスト、ウィリアム・キャンドリック氏は言う。同氏は、こうしたアプローチは従業員の行動を変えるのにほとんど役に立たないと付け加える。

　簡単に言えば、従業員はたまにしかない研修で教えられたことを覚え、それを日常業務に適用するのに苦労している。こうした研修は往々にして古くさくて平凡でつまらないプレゼンテーションを含み、従業員の個々の業務に適用できない内容を紹介する。

　調査会社Nemertes Researchの最高経営責任者（CEO）兼創設者であるジョナ・ティル・ジョンソン氏も同じ意見だ。こうした取り組みは「練習なしに言語を習得してもらおうとするようなものだ」とジョンソン氏は言う。

　これらの見解は、技術者団体USENIXが発表したレポート「An investigation of phishing awareness and education over time: When and how to best remind users」の結果と一致している。このレポートは、USENIXがドイツの行政機関の従業員409人を対象に実施したセキュリティ意識向上研修の効果を検証する調査結果をまとめたものだ。調査方法は以下の通り。

• 調査対象者にセキュリティ意識向上研修を実施
• 同研修の前後複数のタイミングで、調査対象者が「フィッシング詐欺メールを見抜けるかどうか」を確認する機会を複数回設け、研修効果を測る

　フィッシング詐欺メールを見抜けるかどうかを確認するタイミングは、「セキュリティ意識向上研修の実施前」「実施直後」「4カ月後」「6カ月後」「8カ月後」「12カ月後」だ。調査レポートによると、実施直後と4カ月目は実施前よりも識別率が向上していたが、6カ月目以降には同様の結果は得られなかった。この結果は、セキュリティ意識向上研修を年に2、3回実施するのが効果的であることを示唆している。

---

　第3回は、効果の出にくいセキュリティ意識向上研修を改善する方法を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。