むしろやる方が危険？ 守りを腐らせる“ダメダメなセキュリティ研修”の特徴：認知バイアスで考えるサイバーセキュリティ

なぜどれだけ研修を積み重ねても、現場のミスは止まらないのか。受講率もテスト結果も“優秀”なのに、インシデントは容赦なく起き続ける――その背景には、教育側と受講者の双方に潜む“見えないバイアス”があった。

[伊藤秀明，パーソルクロステクノロジー株式会社]

　情報セキュリティ研修は、多くの組織にとって当たり前の取り組みとして定着しています。eラーニングやフィッシングメール訓練、受講率の管理、理解度テストなど、どれも重要な業務です。しかし、こうした研修を継続しているにもかかわらず、実際のインシデントは後を絶ちません。

　「やったはずなのに、なぜ守られないのか？」という教育側の疑問。「どこかで聞いたことのある話ばかりで、つまらない」と感じる受講者の反応。もしかすると、この伝わらなさの根本にあるのは、“教育の構造自体を疑わない”というバイアスにあるのかもしれません。

　本稿では、教育する側・受ける側双方の認知バイアスに着目しながら、セキュリティ研修の再設計に向けた実践的な方向性を提示します。

筆者紹介：伊藤秀明（パーソルクロステクノロジー　セキュリティ本部　シニアエキスパート）

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

なぜあなたの会社のセキュリティ研修はうまくいかないのか？

　教育を提供・設計する側が無意識に陥りやすい認知のクセとして最も根深いものの一つして「教育をした＝リスクは下がった」という思い込みがあります。受講率やテストの平均点、レポートの提出率などの指標が整っていることで教育の役割は果たしたと感じてしまうのは、人間の認知の自然な働きでもあります。

　しかしこのとき、教育設計側が「研修を実施したという形式そのもの」で満足してしまい、本当の目的である行動変容やリスク軽減を見失ってしまう傾向があります（便宜的に「形式化バイアス」と呼びます。これは学術用語ではありませんが、現場で起こり得る思考のクセを表す説明用語として使っています）。

　さらにインシデントが起きた際に「きちんと教育していたのに」と思ってしまうと、「受講者がルールを破った」「個人の意識の問題だ」と短絡的に決めつけてしまいがちです。

　これは「後知恵バイアス」（hindsight bias）の影響によるものです。何かが起きたあとで「そうなると思っていた」「起きるはずだった」と思い込んでしまうこの心理は、教育の質を問い直す機会を奪ってしまいます。

　一方で、教育を受ける側にとっては、セキュリティ研修は“嫌々”受けさせられるものです。ここで働いている代表的なバイアスの一つが「バンドワゴン効果」（bandwagon effect）という「みんながやっているから自分もやる／やったふりをする」という集団心理です。

　企業全体で義務付けられている研修を流れ作業のように捉えてしまうと、受講して終わるという意識だけが残ってしまいます。さらに、研修内容が前回と大きく変わらない場合、「また同じ話か」といった「正常化の偏見」（normalcy bias）という受け止め方が生まれます。こうした心理は教育の伝達力を削ぎます。「知っている話」と認識された時点で、注意力と記憶への定着は急激に落ちていきます。

こうなっていませんか？　「形式的な儀式」になった途端、教育は終わる

　ここまでの両者のバイアスを整理すると次のような構造が浮かび上がります。

• 教育担当者は「教育した」という実績に安心し、形式を疑わない
• 受講者は「やらされるもの」として受け取り、内容を軽視する

　この状態では教育は行動変容を起こす手段ではなく、責任範囲を切り分けるための免罪符のような、形だけの取り組みになってしまいます。教育が“納得の設計”ではなく“形式的な儀式”になってしまっているため、組織としては非常に危うい状態です。

　では、このような状況を生まないためにはどのような対策があるのでしょうか。実例を踏まえて紹介します。

対策1：「教育の『目的』と『手段』を分離して捉え直す」

　教育を実施する際、まず「なぜこの研修をするのか」「受講者にどう変わってほしいのか」という目的を明確にし、研修という形式（手段）を切り離して考えることが重要です。受講率・理解度スコアだけを目標にするのではなく「実際にどの行動を変えるか」「どういう状況でその変化が現れれば成功か」などを設計します。

　受講者としては「ただ研修を受けるだけ」ではなく、「この研修を通じて自分の業務／状況で何を変えられるか」を意識できると、学びがジブンゴト化できます。目的が明確だと内容も能動的に受け止めやすくなります。

　一つ実例を紹介しましょう。大日本印刷（DNP）が実施している「サイバーナレッジアカデミー」では、サイバー攻撃を実感させる実践重視の演習型コースを設けています。職層別カリキュラムなどを通じて「セキュリティ人材化」を目的に据えており、ただ受講させることを手段化しない設計の好例です。

対策2：「研修以外」の選択肢を制度に組み込む

　教育担当者としては「単に受講率を上げる」「研修を実施した」という形式だけで安心するのではなく、疑似的な標的型メールを使った訓練やアクセスログの取得・分析といった行動可視化を制度設計に組み込むことで、実際の初動対応力や組織内の足並みをそろえる効果を狙います。

　受講者の立場では「この研修は自分には関係ない」という意識を払拭（ふっしょく）するために、実際に訓練メールを自分も受ける、もし開封したらどういうフォローがあるかという体験をしてもらいます。

　もう一つ実例を紹介しましょう。兼松エレクトロニクスは標的型攻撃メールを模擬・模倣した無害な訓練メールを社内で送付し、URLクリック・添付ファイル開封のログ取得、結果報告までを一連の制度として導入しました。訓練後は「開封率ゼロを目指すことによって、有事に直面したときの初動対応ができるかどうか」を重点に置き、足並みをそろえた教育実施による組織的な気付きが得られたと評価しています。

「やるべき」ではなく「変わるために何をするか」

　セキュリティ教育は「やるべきもの」として制度化されてきました。しかし組織の中で「やるべきこと」が形式に変わったとき、それは形骸化の始まりでもあります。本当に大切なのは「なぜやるのか」を常に問い直すこと。そしてその問いに応じて、教育という形式を目的から解放することです。

　その視点がある限り、研修という手段は使っても使わなくてもよいでしょう。大切なのは教育する側も受ける側も、互いの認知を理解した上で「行動や意識が実際に変わる仕組み」を考え続けることではないでしょうか。