失速したゲーミフィケーションが復活？ 本気のセキュリティカードゲームで遊んでみた：「やらされ研修」をどう変えるか？

ランサムウェア被害が相次ぐ中、従業員のセキュリティリテラシー向上は急務だ。しかし従来の座学中心の研修は形骸化し、実効性に疑問符がつく。この打開策として注目が集まるのがゲーミフィケーションだ。これを取り入れたセキュリティ学習カードゲームの体験レポをまとめた。

[田渕聖人，ITmedia エンタープライズ編集部]

　昨今、国内大手企業を標的としたランサムウェア攻撃の激化が止まらない。アサヒグループホールディングスやアスクルといった企業が被害に遭い、事業活動に多大な影響を及ぼした事案は記憶に新しい。

　こうしたランサムウェア攻撃の初期アクセスの多くは、高度な脆弱（ぜいじゃく）性を突くものばかりではない。むしろ従業員のアカウント情報の窃取や、業務メールを装ったマルウェア感染といった「人」を起点とした初期アクセスが、深刻な侵害の引き金となっていることも多い 。もはやサイバーセキュリティはIT部門だけの問題ではなく、全従業員が当事者として取り組むべき経営課題だ。

　しかし多くの企業が実施しているセキュリティ研修の実態は、理想とは程遠い。定期的なeラーニングや座学は一般化したが、受講者側には「業務時間を削られる、やらされるもの」という意識が根強い。画面をただクリックして時間をやり過ごすような、形骸化した研修では攻撃者の巧妙な手口を見抜くリテラシーは育たない。

　では、従業員の意識を刷新し、組織全体の防御力を高めるにはどうすればいいか。この難問に対し、エンターテインメントの知見を社会実装することで解決を図るセガ エックスディー（以下、セガXD）の取り組みから次世代の教育手法の可能性を探った。

15年前のゲーミフィケーションブームはなぜ“失速”したか？

　セガグループにおいて、エンターテインメントの枠を超えた「社会実装」を掲げるセガXD。同社がビジネスの主軸に据えるのが「ゲーミフィケーション」だ。しかし、この言葉にはかつての「苦い記憶」が付きまとっている。

　同社の田岡雄氏（エクスペリエンスデザイン部 部長 兼 人事企画担当部長）は、ゲーミフィケーションの市場動向を冷静に分析する。

　「約15年前、ゲーミフィケーションは一度大きなブームを迎えました。当時の『ゲーミフィケーション』とも呼べるブームでは、ログインボーナスの付与やランキング表示といった、報酬系の仕組みを既存のサービスに組み込む手法が流行しました。しかしこれらは『手法先行』であり、ユーザーの自発的な意欲を維持できず、失敗したプロジェクトが多くあったと分析しています」（田岡氏）

　ユーザーがゲームに熱中する理由は「面白い」からだ。当時のゲーミフィケーションではその前提を無視し、ゲームの仕組みを単にサービスに取り入れた結果、思った効果を発揮できずブームは失速した。

　セガXDは過去の事例から得られた知見を基に「ゲーミフィケーション2.0」という概念を提唱している。

　これは単なる手法の模倣ではなく、行動経済学や心理学の観点から「なぜ人は行動するのか」を論理的に体系化したものである。田岡氏は、ゲームには人の本質的欲求を刺激し熱中させる複数の心理学的手法が組み込まれていると説明しており、セガXDではそれらを以下を含む「9つの欲求と101の手法」として体系化している。9つの欲求のうち代表的なものは以下の通りだ。

• 【自律欲求】理解者的コミュニケーション：　「自分のことを分かってくれている」「理解されている」「自分のために言ってくれている」と感じさせる手法。信頼感が増すことで、ジブンゴト化しやすくなる
• 【達成欲求】段階ゴール：　ユーザーにとっての最終的なゴールを明確化し、さらにそこまでの道のりを細分化し、ユーザーが現在時点で達成可能と思える目標を常に提示する手法
• 【保存欲求】セルフビルド：　ユーザーがゼロから作りあげたり、作るプロセスの一部に関与できる要素を入れる手法

　「ゲームに熱中してしまうのは、偶然ではなく、そこには論理的な裏付けがあります。ゲーミフィケーション2.0はゲーム体験のより本質的な部分に着目し、消費者の行動を促すことを意識しています」（田岡氏）

ゲーミフィケーションの概念整理（出典：セガXD提供資料）

　海外では既に、ADHD（注意欠如・多動症）の治療薬としてFDA（米国食品医薬品局）の認可を受けた「デジタル処方薬（ゲーム）」が登場するなど、ゲーミフィケーションの有効性は医学的にも証明され始めている。一方、日本では「仕事中の遊び」への忌避感が根強かったが、ゲームに親しんだ世代が経営の決裁権を持つようになった現在、その潮目は確実に変わりつつある。

　セガXDはこの知見を生かし、建設現場で職人のDXを促進する仕組みを作ったり、防災訓練に謎解きを活用した没入コンテンツに変換したりと、従来の「必要だとは分かっていても腰が重いもの」を「自発的に取り組むもの」へと変容させた。このメソッドを企業のセキュリティ教育に適用したのが、対戦型カードゲーム『スリーナンバー ~CSIRT vs HACKER~』（以下、スリーナンバー）だ。

面白さと学びを両立させるセキュリティ学習カードゲームを遊んでみた

　スリーナンバーは、セキュリティチーム「CSIRT」と「ハッカー」の対決をテーマにしている。ハッカー側は、ハッキング手法が記載されたハッカーカードを使い、CSIRT側が設定した「3桁の数字」を突き止めれば勝利。CSIRT側は、ハッカーカードの攻撃内容に対応する適切な防御手法をセキュリティカードから選び、対策を講じることで「3桁の数字」を守り抜けば勝利だ。

スリーナンバーで使用するハッカーカードやセキュリティカード（出典：編集部撮影）

　開発に当たっては親会社であるセガサミーホールディングス（以下、セガサミー）のCSIRT専門家による監修が徹底された。開発を担当した市川勤氏（エクスペリエンスデザイン部 ディレクター）は「カードゲームとしてのテンポを重視しつつ、セキュリティの正確性をどこまで確保するか、そのバランス調整には心血を注いだ」と振り返る。

　例えば、ある対策が複数の攻撃に有効だったとしてもそうではないとしても、あえてゲーム性を優先して「この攻撃にはこの対策」とシンプルに定義した部分もある。しかし、それは「まずは興味を持ち、基本構造を理解する」という教育ターゲットに最適化した結果だ。カードデザインにもこだわりが詰まっており、強力な効果を持つ「CSIRTカード」をリッチな装飾にすることで、「困ったときにはCSIRTを頼る」という意識を潜在的に植え付ける工夫も施されている。

一番左がCSIRTカード。他のカードと異なるデザインになっており、リッチな装飾だ（出典：セガXD提供資料）

　また、カードに記載されるテキストのボリュームも極限まで削ぎ落とされている。専門用語の羅列を避けつつ、そのエッセンスを伝えるコピーライティングは、ゲーム会社ならではのノウハウだ。参加者は複雑なルール説明を読み込むことなく、プレイを通じて自然に「ハッカーの視点」と「守り手の苦労」を学習できる。

　スリーナンバーは初心者向けの「ビギナーモード」と、高い戦略性を備えた「エキスパートモード」という2つのモードで遊べる。筆者も実際に2つのモードでプレイを体験した。

　遊んでみて感じたのは2つのモードで明確にユーザー体験が異なるということだ。ビギナーモードは学習に特化している。ゲームに勝つためには攻撃手法と対になる防御手法を知らなければならない。そのため座学では聞き流してしまう用語もゲーム上の不利益に直結することで、その重要性が身に染みる。

　一方のエキスパートモードはゲームとしての面白さに特化しており、単純なカードゲームとして高い戦略性と駆け引きを楽しめる。こちらは何度も遊ぶことで、セキュリティを身近に感じてもらうことを目的にしており、セキュリティ用語の意味を覚えるなどの学習向きではないがゲームとしてシンプルに面白く、ゲーム会社の意地を感じる出来栄えになっており、開発のこだわりと「遊びと学び」の葛藤を感じられた。

スリーナンバーで遊ぶ様子。非常に白熱し、ゲームに負けると単なる座学では決して味わえない「悔しさ」を感じた。ビギナーモードの遊び方はこちら（動画）、エキスパートモードの遊び方はこちら（動画）を見てほしい（出典：編集部撮影）

ゲーミフィケーションが切り開く能動的なセキュリティ教育の未来

　今回の取材を通じて、ゲーミフィケーションが単なる「遊び」ではなく、人間の心理を突いた極めて合理的な手法であることが浮き彫りになった。

　スリーナンバーのようなコンテンツは、特に新人研修や社内ワークショップにおいて、組織の壁を超えたコミュニケーションを促進しつつ、リテラシーの底上げを図るための強力なツールとなるだろう。座学で「用語を覚える」フェーズから、ゲームを通じて「攻撃者の思考を体験する」フェーズに転換することで、形骸化したセキュリティ教育をアップデートする鍵となる。

　セキュリティ対策において、技術的なソリューションの導入は不可欠だが、それを運用する「人」の意識が変わらなければ、組織の脆弱性は解消されない。セガXDが示す「論理に基づいた楽しさ」の社会実装は、サイバー攻撃という目に見えにくい脅威に対抗するための、最も身近な武器になるはずだ。