さて、ここまでは「標的型メール攻撃訓練」について考えてきましたが、ここからはもう少し視野を広げて、「教育・訓練」そのものについて考えてみたいと思います。
教育は、「教え、育む」ものだと言われます。また訓練は、「実際にあることを行って習熟させること」だとされています。人に対する教育・訓練は情報セキュリティにおいても最も重要な取り組みの1つですが、現実には一方通行的で役に立たない教育・訓練もしばしば行われています。
例えば、ここに2つのマークがあります(図1)。読者の皆さんは、どちらが「駐車禁止」のマークか分かりますか? 通学や通勤の途中など、皆さんもこのマークはしばしば目にしていると思いますが、案外、どちらか分からないという方も多いのではないでしょうか?
2択の問題ですから、適当に選んでも正解することはあるのですが、筆者が研修などでこの質問をしてきた経験では、「なぜそれを選んだのか」という理由まではっきりと答えられる参加者はほとんどいませんでした(ちなみにその中には、“損害保険会社向け研修”も含まれています)。
どうして、これらのマークを区別するのは難しいのでしょうか? 筆者はその一因として、自動車教習所などで、「2つのマークを比較しながら、その由来を教える」といった踏み込んだ教育が行われていないことがあるのではないかと考えています。「1つのマークをただ示せば教育として十分」と考えてしまっているのかもしれません。
ここで正解をお伝えしておくと、正しい駐車禁止マークは、図1右側のマークです。駐車禁止マークは、「No Parking」の“No”の文字からきているのです(“No”の字を図に重ね合わせてみてください)。
教習などで、こうした由来まで含めて説明すれば、長く受講者の記憶に残るでしょう。そして、併せて「禁止を示す交通標識の多くは“左上から右下に”斜線が入っている」といった関連情報も同時に伝えれば、受講者の知識はさらに広がるはずです。セキュリティ教育においても、ただ漫然と知識を伝達するのではなく、「教育効果を高めるための伝え方」を工夫する必要があります。
Copyright © ITmedia, Inc. All Rights Reserved.