サイバー攻撃は 90% 以上が人の関わりを必要とするものです。つまり、誤ったクリックやパスワード不適切な管理など、ユーザーによるシンプルな操作が重大な結果につながる可能性があります。リスクは高く、こうした行動を改める必要性は、軽視できません。
問題の核心に迫るために、プルーフポイント EMEA 担当専任情報セキュリティ最高責任者 (CISO)、Andy Rose は先日、スタンフォード大学の行動科学者、BJ Fogg 博士と、行動の背景にある科学と、習慣がどのように構築され、停止されるかについて話しました。 Fogg 博士は、ベストセラー作家であり、Fogg Behavior Model (フォッグ行動モデル) の開発者でもあります。
対話の主な内容をいくつかご紹介します。
Andy Rose: まず、Fogg Behavior Model と、その土台にある概念について説明していただけますか?
Fogg 博士: もちろんです。 このモデルは、あらゆる年齢・文化に対応した、あらゆる行動タイプのユニバーサルモデルです。このモデルは、モチベーション (Motivation)、能力 (Ability)、きっかけ (Prompt) がタイミングを同じくして揃えば、行動にいたることを示すものです。行動するモチベーション、行動するための能力、行動するきっかけです。
フォッグ行動モデルの図出典: behaviormodel.org.
例えば、誰かに赤十字社に募金させたいとしましょう。その人が募金に積極的で、その人にとって簡単なことであれば、きっかけがあれば募金をする可能性は非常に高くなります。では、赤十字社が好きではなく、寄付が難しい人の場合はどうでしょうか?この場合、きっかけがあっても寄付することはないでしょう。
モチベーションと能力の範囲は、行動ラインと呼ばれるしきい値です。しきい値の下にいる人は、きっかけがあっても行動を起こすことはないでしょう。しきい値の上にいる人は、行動を起こします。簡単に言うと、これが Fogg Behavior Model です。
人間のあらゆる特定の行動は、モチベーション、能力、きっかけが揃って生まれます。これらの一つでも欠けていれば、行動は起こりません。このモデルを使用すれば、何が欠けているか分析し、判断することができます。
著書、『Tiny Habits』でも同じテーマを扱っていますね。これは、個人が自身の行動を変えるための手助けとなるものだと思いますが、このモデルを一斉に適用するために、サイバーセキュリティ担当者はそれぞれ何をする必要がありますか?
考え方は幅広く、さまざまですが、ここでも、私達が人々にしてもらいたい特定の行動が何であるかが中心となります。そして、モチベーション、能力、きっかけにおいて人々はどのような状態にあるか、そして人々にこうした行動をさせる、またはさせないために現在足りないものは何か、ということに目を向ける必要があります。
どちらの方法もあります。 きっかけを与えたり、モチベーションを高めたり、また、きっかけを取り除いたり、行動をより困難にさせたりできます。どちらも、具体性が行動の変化につながります。
例えば、「安全なサイバー環境づくり!」は普遍的ですが、可能な限り具体的にする必要があります。ある種類のメールである種類の内容であれば、特定の行動を取るといったことです。過剰と言っていいほど説明する必要があります。
行動は、3 つの基本的要素で成り立っています。
具体性の次に注力すべきものを一つ選ぶとすれば、次のような質問となるでしょう。「特定の行動を奨励する、または奨励しないために、この行動の難しさをどのように変えることができるか?」時には、モチベーションを確実に変えることはできません。しかし、物事をより簡単に、またはより難しくすることはできます。そしてこれは大規模に実現できます。
モチベーションの面について見ていきましょう。私達はいつも人々に、何を行うべきか、どう行うべきか、何を目指すべきかを教えています。しかし、昨今では、トレーニングは行動による結果を加味していない傾向にあります。 罰に頼りすぎてやる気をそぐことなく、モチベーションや結果をセキュリティ意識向上プログラムに組み込むにはどうしたらいいでしょうか?
必要とされる行動を、動機づけとして人が常に望むものに結びつける必要があります。これは、昇進、ステータス、自分の子供に尊敬されることなどが挙げられます。これはどこでも目にする光景です。例えば、ルームランナーでトレーニングしたくない人でも、パワーと健康を向上させたいと考えている人もいます。
そのため、その人が望むものを見つけ、行動と結びつけることが鍵となります。これが不可能な場合は、能力またはきっかけの要素を変えるなど、これらの「てこ」を使用する必要があります。しかし可能であれば、私の著書でも最上位に掲げている、人が望んでいたことをするようサポートすることです。
これは、広く普及しているゲーミフィケーションに関わるものですか?何かをしたいという欲求を生み出す方法でしょうか?
はい。モチベーションを高める方法を生み出すことは可能です。またこれはしばしば、ゲーミフィケーションと呼ばれるものです。うまくいくときもあれば、そうでないときもあります。
例えば、私はスコアボードはあまり好きではありません。公開スコアボードがあったとして、何人の人が達成感を得られるでしょうか?1 人または 2 人でしょう。ほとんどの人は達成感が得られません。ですから、モチベーションを高め、多くの人を引きつけるために使用する方法には注意が必要です。
さて、きっかけに移りましょう。人々を引きつける、効果的で持続するきっかけを生み出すために、何かアドバイスはありますか?
難しい問題ですね。魔法のような方法はありません。人にきっかけを繰り返し与えようとすれば、その人はすぐにそうしたきっかけに鈍感になってしまいます。ですから、きっかけはタイミングが重要です。その人ができないときに、きっかけを与えようとは思わないでしょう。トレーニング モジュールを受けるのに非常に意欲的であるのに、きっかけを受け取ったときにできる状態でなければ、はがゆいでしょう。そのため、モチベーションと高く、可能であるときに、きっかけを与えるのが理想です。
人数が多い場合はより複雑になります。そのため、自分がもっている情報でできる限り最善を尽くし、適切に行動を起こす必要があります。 例えば、他の企業でサイバーセキュリティ インシデントがあり、多くの人の間で話題になっているとしましょう。どうなるでしょうか?人々は普段よりも意欲的になるでしょう。そして、このための時間を設ければ、より参加しやすくなります。
コンテンツに再び目を向けると、多くのセキュリティ担当者がきっかけを与え、セキュリティ意識向上のメッセージを伝えるためにコンテンツを作成しています。参加者が何度も参加したくなるようなコンテンツを作成するにはどうしたら良いでしょうか?
してはいけないことから始めましょう。私はこれを、「情報-行動の誤謬(ごびゅう)*」と呼んでいます。
*誤謬(ごびゅう):(考え・知識などの)あやまり
人々に情報を与えれば、人々は態度を変え、続いて行動を変えるでしょう。
これは非常に論理的に見えます。しかし、長い目で見ると、このようにうまくは行きません。なぜでしょうか?なぜなら、人は信じたいものを信じるからです。情報は確実に態度を変えるものではありません。たとえ態度を変えたとしても、行動を変えるとは限りません。
そのため、行動を採用し、これを人々が望んでいたことと結びつけることをおすすめします。これなら、行動を変えるためにまず態度を変える必要はなくなります。そのため、質問の答えとして、人が行動を起こし、達成感を得ることができれば、自分自身に対する考え方も変えることができます。
そのため、フィードバック ループを用意することが実に重要です。 誰かがフィッシングメールをセキュリティ オペレーション センターに報告する、または適切な行動を取れば、担当者はできるだけ早くこれを確認しようとするはずです。
はい、フィードバックのタイミングは非常に重要です。担当者は 30 日も待てず、ちょっとしたバッジや認定を提供しようとするかもしれません。これはインセンティブですが、強化するものではありません。達成感といった感情は、すぐに起こるようなものである必要があります。
測定についてはどうでしょうか?セキュリティ文化を構築しようとした場合、成果を示すために、取締役会に報告できる、ダッシュボードまたは指標をどのように作成できるでしょうか?
そうですね、確かに、デジタルシステムで可能な定量的測定は存在します。しかし、私はこうした分野の専門家ではありません。心理学的観点から見ると、残されたものは自己報告です。
私ならきっと、このようにして自分の中にある変化を測定してみるでしょう。『Tiny Habits』のプログラムで 10 年以上使用してきた 1 つの質問に、「私は … のような人間である」といったものがあり、人にこの空白を埋めてもらいます。これは、人の自信または自己効力感を経時的に測定するための効果的な方法です。
Fogg 博士、今日は貴重なお話をどうもありがとうございました。 最後に、これを読んでいる、セキュリティ意識向上トレーニングの参加者に向けて、重要なポイントまたは推奨事項はありますか?
はい。人の行動の背景にシステムがあることは良いことです。推測する必要がないためです。体系的に分析し、体系的に設計し、テストを行い、繰り返して改善させていくことができます。そして、行っていることに自信を与えるのもシステムです。道を誤っているのではないかと思い悩む必要はありません。システムを学び、適用するだけです。
Fogg 博士の詳細と、新しい著書、『Tiny Habits』をご覧ください。