ユーザーを巻き込み、行動を変える
Proofpoint Security Awareness Trainingの非常に効果的なサイバーセキュリティトレーニングソリューションは、学習者の関心を高め、行動を変えるためにラーニングサイエンスの理論を活用しています。 このラーニングサイエンスの理論をトレーニングに採用する手法は、カーネギーメロン大学で行われた研究で効果があることが証明されています。
プルーフポイントは、従業員がサイバーセキュリティのリスクから自分自身と組織を守る方法を学ぶことができるように、以下の原則を採用しています。
概念と対処法のナレッジを提供
まず、概念を学ぶことにより、受講者はその事象の全体像をとらえ、問題を解決するためにどのように技術を適用する必要があるかを理解することができます。一方で対処法の知識は、実際に問題を解決するために必要なアクションに焦点をあてています。
この2つのタイプの知識を組み合わせることで、ユーザーの理解度を大幅に高めることができます。
例えば、URLに含まれるIPアドレスがフィッシングのURLかどうかを判断するためには、対処法的な知識が必要かもしれません。しかし、そもそもIPアドレスとドメインの違いを理解するためには、URLの仕組みについての概念を理解する必要があります。そうでないと、www4.google.comのようなものをフィッシングURLと勘違いしてしまう可能性があります。
一口サイズのトレーニングの提供
人は、簡単に消化できるような小さな情報に集中することができれば、より良い学習が可能になります。55の異なるトピックすべてを網羅するようなサイバーセキュリティ トレーニングの内容を従業員が覚え、行動を変えるのを期待するには無理があります。ピンポイントに、約15分の短い時間でおこなうトレーニングのほうがはるかに効果的です。
レッスンの強化
トレーニングの内容を定着させるには、繰り返すことで学習を定着させることが鍵です。適切なフィードバックと反復練習の機会がなければ、学んだことはすぐに忘れてしまいます。サイバーセキュリティのトレーニングは、単発のセミナーではなく、継続的なイベントであるべきです。
実際に遭遇するストーリーを用いたトレーニング
人は技術的な内容よりも背景や文脈を記憶する傾向があります。つまりサイバーセキュリティのトレーニングでは、ユーザーが実際に遭遇する可能性が高い状況に基づいたレッスンを提供することが重要です。
即座のフィードバック
スポーツをしたことがある人なら、これはだれでも理解できるでしょう。「ファウル時点で、それをコールする」- つまりミスがあったその時にジャストインタイムで教育を提供することで、覚えやすい瞬間を活用し、効果を最大化させることができます。企業が作成した標的型訓練メールに引っかかったユーザーが、その場でアドバイスやヒントを得ることができれば、再びそのトリックに引っかかる可能性は低くなります。
それぞれに最適なスピードで
人は誰でも、自分のペースで学習していきます。ひとりひとりに合わせたセキュリティ トレーニング プログラムでない場合、ユーザーが自分に最適なスピードで学習を進めることが難しくなります。
ストーリーを活用する
人は、登場人物や物語の内容によって微妙な感情的な結びつきを形成し、興味を持ち続けることができます。事実やデータだけを羅列するのではなく、ストーリーテリングのテクニックを使うことが重要です。
メッセージを埋め込む
概念は、多くの文脈の中で遭遇し、異なる方法で表現される時に最もよく学習されます。サイバー セキュリティのトレーニングでは、ユーザーにコンセプトを複数回、異なる言い回しで伝えることで、受講者は過去の経験との関連性を高めることができ、新たな知識の獲得につなげていくことができます。
受講者を巻き込む
学習プロセスに積極的に参加している生徒は、教えられたことを覚えている可能性が高くなります。受講者がフィッシング詐欺の手口を見極めたり、適切なパスワードを作成する練習をすることができれば、劇的な改善が期待できます。残念なことに、集合型研修は、いまだに講義形式のような古い教育モデルにならっているものが多いため、受講者を積極的にトレーニングに参加させるには不向きな場合があります。
ユーザーに考えさせる
人は改善する前に、自分のパフォーマンスを評価し、レビューする機会を必要とします。 セキュリティ意識向上のトレーニングのプログラム は、従業員が提示された情報を検証し、その妥当性を疑問視し、独自の結論を導き出すようなものであるべきです。
結果を計測する
各トレーニングキャンペーンの終了時にはデータを収集することで、受講者に足りない点を補足することができます。
これはどのような教育プログラムにおいても重要な要素です。従業員の知識の強い部分、弱い部分を把握することにより、組織や受講者は自分たちがどれだけ攻撃に弱いかを知ることができ、次の対策につなげることができます。