６万５千社を超え、大きく拡大するKnowBe4の顧客ベース：そこには、セキュリティ意識を超えて進化するセキュリティアウェアネストレーニングがあります

高度化し続けるサイバー攻撃は、世界を悩ます課題となっています。サイバー攻撃の継続的な進化に伴い、セキュリティ意識（アウェアネス）の必要性は浸透し、セキュリティアウェアネストレーニング市場は米国から、北米・南米、ヨーロッパを中心にEMEA諸国へ、そして日本を含むアジア太平洋地区へと拡大し続けています。その中、欧米では、セキュリティ意識向上トレーニング（SAT）は、単なるセキュリティ意識（アウェアネス）の枠を超えて、進化し始めています。これに関連して、KnowBe4のセキュリティアウェアネス・アドボケートである Martin Kraemer（マルティン・クレーマー）が興味あるブログを投稿しています。

Evangelists-Martin Kraemer画像1 日本でのセキュリティ意識（アウェアネス）とセキュリティアウェアネストレーニングのさらなる理解のために、このブログを編集して、紹介するとともに、KnowBe4のセキュリティアウェアネストレーニングへのアプローチを紐解いていきます。

マルティンのブログでは、セキュリティアウェアネストレーニングがセキュリティ意識（アウェアネス）を超えて進化して、その市場が拡大していることを解説しています。

このブログでは、意識（アウェアネス）を原点に戻ってその定義を確認しています。マルティンは、セキュリティ意識（アウェアネス）と行動の関係について、次のように述べています。

結果を決めるのは、私たちの行動があって、私たちの思考や知識や意図ではありません。サイバーセキュリティに携わる人ならば、サイバーインシデントの70％以上が人の不注意な行為によって始まっている（報告書によっては95％にまで達している）ことを誰もがそのことを知っています。セキュリティ意識（アウェアネス）は、特定の危険について「人」を教育することであって、実際に正しいことを行うように「人」を訓練することが本来の目的ではありません。現実に、強力なサイバーセキュリティ体制を形成している組織では、この違いを認識しており、単なるセキュリティ教育の枠を超えて、セキュリティアウェアネストレーニングをすでに実施していることを指摘しています。ここで、セキュリティ教育とセキュリティアウェアネストレーニングとはどのように違うのかを確認します。

セキュリティアウェアネストレーニングはセキュリティ教育とは違うのか
セキュリティ教育はいつ頃から始まったのでしょうか。インターネット時代の幕開けとともに、ITセキュリティの必要性が生まれてきました。従業員の多くがPCを提供され、企業ネットワークにアクセスできるようになり、さらにインターネット接続によって外部からの企業ネットワークへアクセスできるようになりました。この時点で、先進企業ではセキュリティ教育がIT教育の一環として、ITセキュリティの知識を教育するために実施されてきたのではないでしょうか。これに対して、セキュリティアウェアネストレーニングは、セキュリティ教育とは全く異なるニーズによって誕生しました。この誕生は、ネット社会が生み出したサイバー攻撃という新たなリスクを発生させたことに端を発します。この増加するサイバー攻撃を防ぐために、従業員を教育する必要性が生まれてきました。これこそが、セキュリティアウェアネス（意識向上）トレーニングの起源です。つまり、サイバー攻撃の怖さを従業員に知らしめる（アウェアネス）ために誕生したものです。ここにきて、多くのセキュリティ担当はセキュリティアウェアネス（意識向上）トレーニングのネーミングに問題があると考えています。何故、この話を持ち出したのかは、9月末にロンドンで開催されたガートナー・セキュリティ＆リスク・マネジメント・サミット2023で興味深い話がたくさんあったからです。ここで、これについて説明します。

目を見張るような基調講演の中で、ガートナーのクリストファー・ミクスターとジー・チャンは、サイバーセキュリティに関する4つの神話を否定しました。4つ目に否定した神話は、「more control = better protection」です。組織はセキュリティ予算の5～10％を使って、セキュリティアウェアネストレーニングに投資しているが、それは何を意味するのだろうかという問題を提起しました。

これについて、いくつかの見解が考察されていますが、ガートナーの調査によると、驚くべき結果が明らかにされています。過去12カ月間にサイバーセキュリティのガイダンス（指導）を意図的に実施しなかった従業員はなんと69%に上り、安全でない行動を取る従業員の93%は、自分が何をしているかを認識していると驚くべき調査所見を示しています。このような従業員にとっては、時間が最重要であり、利便性が優先されているため、従業員はセキュリティ・ポリシーに従わずに、安全でない行動をとっていることを十分承知していながら、安全でない行動をとっているとガートナーは指摘しています。ここで、セキュリティ教育で指導したセキュリティ意識は機能しないのではないかという疑問点が浮上してきました。ここにあるのが意図と行動のギャップ、つまり意識教育しただけでは、行動につながらないという事実です。

意図と行動のギャップ
これはサイバーセキュリティだけではなく、組織にとって周知の命題ですが、「人」は確実に行動することが難しすぎるなら、おそらくそれをしないだろうことは、誰しもが同意することです。また、意図と行動のギャップがあることは、誰しもが認めるところです。

ここに、本来のセキュリティアウェアネストレーニングの基本理念の根源があります。優れたセキュリティアウェアネスプログラムを構築するには、「人」に関する次の3つの基本的な真理に基づくことが求められると考えられます。

知っているからといって、「人」は実行するわけではない。
「人」の本性に逆らって断行すれば、成果を収めることはできない。
従業員が何を知っているかよりも、何を実行するかが重要である。

つまり、セキュリティアウェアネストレーニングの担当者は、この基本的な「人」の3つの真理を考慮しなければならないのです。同様に、ガートナーのミクスターとチャン（前出）は、人間中心のセキュリティプログラムを設計する際には、基本的なユーザーエクスペリエンスの原則を適用し、従業員とコミュニケーションをとりながら、ユーザーのマインドセットに容易に植え付けることができるFriction（擦り込み）を見つけることを提案しています。つまり、「最も安全な行動は、最も簡単な行動に置き換えられなければならない」ということです。ガートナーはこれを「minimum effective friction（最小有効擦り込み）」と呼んでいます。つまり、望ましい行動と結果を引き起こさせるためには、ユーザーエクスペリエンス上のマイナス効果を最小限に抑えて、行動習慣をマインドセットに刷り込むことであると述べています。

セキュリティ意識（アウェアネス）から行動変容・行動習慣、セキュリティカルチャー醸成へ
KnowBe4では、行動経済学者であるダニエル・カーネマンとBJ・フォッグの著作を参考にしています（これについては、KnowBe4のCEOであるストゥ・シャワーマンのブログを参照）。BJフォッグは、行動とはモティベーション（動機付け）、能力（アビリティ）、きっかけ（トリガー）がある条件を満たしたときに生まれるものだと説明しています。つまり、物事が難しすぎたり、やる気が起きるようなことでなければ、「人」を行動させることはほとんど期待できないと述べています。

言い換えれば、行動は、十分なモティベーションとそれを実行できる能力に加えて、それを実行できる容易なきっかけ（トリガー）が連続的に存在すれば、行動は引き起こされるということです。例えば、フィッシングメールの報告を例にとって考えてみます。従業員はフィッシングメールのレッドフラグ（危険信号）を発見することは、フィッシングメールを報告するトリガー（きっかけ）になるかもしれないが、メールを報告することが面倒であったり、組織全体にサイバーセキュリティに対するセキュリティ意識が欠けていたりすると、セキュリティ教育を実施していても、ほとんどの場合、フィッシングメールは情報セキュリティチームに報告されていません。

では、セキュリティ意識は機能しないのでしょうか？これは、セキュリティアウェアネストレーニングの捉え方に問題があると思われます。たとえセキュリティ意識があったとしても、行動へと移し、習慣化するための行動変容の仕組みがなければ、行動は習慣化されません。このような仕組みのもとで、セキュリティアウェアネストレーニングの目的はセキュリティ意識（アウェアネス）から、行動変容、そして、セキュリティカルチャー（セキュリティ文化）の形成へと次のフェーズへと進化しています。

一言で言えば、組織のサイバーセキュリティ態勢は従業員の行動にかかっていると言っても過言ではありません。KnowBe4は、セキュリティカルチャー（文化）と人的防御層（ヒューマンデフェンス・レイヤー）の形成・構成に重点を置く、セキュリティアウェアネス（意識向上）トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーですが、ここには、適切なプラットフォーム／ツールと、セキュリティ意識から人の行動とセキュリティカルチャー（セキュリティ文化）へと進化させるKnowBe4のアプローチがあるのです。