Skip to content
検索
  • There are no suggestions because the search field is empty.
キャンセル
採用情報

    KnowBe4 ブログ

    やってもやっても響かないセキュリティ研修、原因は「全員一律」かもしれません

    TOKYO, JP | 2025年12月16日

    Evangelists-Javvad Malik

    人間のおもしろいところは、あるときは「いつもの安心感」を求め、別のときは「新鮮な刺激」を求めるところです。

    例えば、Metallicaのライブに足を運んだとします。多くの人が期待するのは、Enter SandmanやMaster of Puppetsのような、歌詞が体に染みついた代表曲です。ところが、シングルのB面に収録されていたマニアックな曲ばかり演奏し始めると、さっきまでの大合唱が嘘のように静かになってしまいます。

    一方で、お気に入りの芸人のライブならどうでしょうか。テレビや動画でさんざん見てきた持ちネタだけをひたすら披露されて、新しいネタが一つもなければ、どれだけ好きな芸人でも「お金を返してほしい」と感じても不思議ではありません。

    この違いはどこから来るのでしょうか。

    私たちは、安心感や共通体験を求めるときには「知っているもの」を望み、刺激や新しい情報を求めるときには「初めてのもの」を望みます。

    要するに、人間は状況によって平気で求めるものを変える生き物であり、その「気まぐれさ」こそが一貫した特徴だと言えます。

    ここで、自社のセキュリティ意識向上プログラムを思い浮かべてみてください。

    多くの組織は、うまく機能していない次の2つの戦略のどちらかに陥っています。

    1つ目は「トリビュートバンド方式」です。四半期ごとにほぼ同じフィッシング訓練、2019年から貼りっぱなしの「画面ロックをしましょう」ポスター、適当にクリックされるだけの必須トレーニング。

    2つ目は「オープンマイク方式」です。毎週新しいピックアップコンテンツ、ゲーム、VRヘッドセットを使ったトレーニング、さらにはランサムウェアをテーマにした創作ダンスのワークショップまで企画されることすらあります。

    どちらのやり方でも、セキュリティ担当者は「従業員がこれを求めている」と決めつけています。

    しかし現実は違います。人は、タイミングや状況、トピックによって、「おなじみの内容」と「新しい内容」の両方を求めます。

    たとえば、入社したばかりの人には、定番曲を集め、何度も聞ける「ベストアルバム」が必要です。フィッシング、パスワード、物理的なセキュリティといった基本を、体に染み込むまで繰り返し学べるようにする必要があります。

    一方で、長年トレーニングを受けてきたセキュリティ意識の高い従業員はどうでしょうか。彼らは新曲を心待ちにしているのに、実施されているプログラムはいつまでも同じ定番曲ばかり演奏しているような状態になっていないでしょうか。

    本当の問題は、「間違ったアプローチを選んでいる」ことではありません。

    問題は、「アプローチを1つに決めて、全員に当てはめてしまっている」ことです。経験年数も役割も、今何を必要としているかも無視して、画一的なやり方を続けていることが問題なのです。

    その結果は、指標にも表れます。

    コンテンツに飽きている人と、情報量に圧倒されている人が混在することで定着率も悪くなります。

    そして私たちは定着率の低さを「セキュリティ疲れ」のせいにしがちですが、実際のところ多くは「タイミングの悪さ」によるものです。

    現在の多くのセキュリティプログラムでは、「全員に同じものを配る」ことが前提になっています。その方が効率的で、測定もしやすく、公平に見えるからです。

    しかし残念ながら、そのやり方ではほとんど役に立ちません。

    そして、ここから少し耳が痛い話になりますが……これを人力だけで解決することは不可能です。

    何百人、何千人もの従業員が「今」何を必要としているのか、誰が繰り返し学ぶべき段階で、誰が新しい内容に進むべきタイミングなのかを、セキュリティ管理者だけで追い続けることはできません。

    しかし、AIなら可能です。

    リアルタイムの行動分析、状況に応じたコンテンツの出し分け、そして「いつも通りのトレーニングが必要なのか」「新しい刺激が必要なのか」を判断しながら進む個別の学習パスを構築できます。

    全社一斉で同じ年次トレーニングモジュールを送る代わりに、AIは従業員一人ひとりに合わせた「パーソナルチャンネル」を用意できます。

    入社したばかりの経理担当には、端的で繰り返しやすいコンテンツを提供します。フィッシングには引っかからないものの、クラウドストレージの設定ミスが多い経験豊富なエンジニアには、「リンクはクリックしないでください」ではなく、クラウドセキュリティの具体的なシナリオを用意します。機密情報を暗号化されていないUSBメモリで持ち歩いてしまうマネージャーには、データの扱い方や安全な共有方法への理解を深めるコンテンツを重点的に届けます。このように、一人ひとりの役割やリスクに合わせて、今必要な内容を必要なタイミングで出し分けることができるのです。

    こうしたトレーニングは、一人ひとりに合わせて設計され、タイミングも適切なものになります。そして、従業員の時間と集中力、これまで積み上げてきた知識を尊重する形で提供できます。

    必要な技術はすでに存在しています。

    問われているのは、「一律のプログラムは機能していないし、そもそも機能し得なかった」と認める勇気があるかどうかです。

    皆さまのプログラムは、「トリビュートバンド方式」でしょうか。それとも「オープンマイク方式」でしょうか。

    本来、どちらかを選ぶこと自体が間違いなのかもしれません。選ぶべきなのは、そのどちらでもないやり方です。

    原典:Javvad Malik著 2025年11月28日発信 https://blog.knowbe4.com/one-size-fits-all-security-training-fits-nobody

    Topics: フィッシング, KnowBe4 SATブログ, セキュリティ文化

     

    KnowBe4ブログに戻る

    Get the latest insights, trends and security news. Subscribe to CyberheistNews.