アウェアネスって何？
（「知ってること」と「出来ること」は別物）

最近、日本国内でも、「セキュリティアウェアネス」という言葉が、ちらほら聞こえるようになってきました。実は、欧米では、ずいぶん以前から、アウェアネス（Awareness）は、セキュリティ分野の大きな柱の一つでした。その言葉が日本で使われなかった背景には、これが、「教育」という言葉に置き換えられてしまっていたからではないかと筆者は考えています。

企業・組織において、その構成員に対する「セキュリティ教育」の重要性は日本でも認識されています。ただ、「教育=Education」と「自覚・意識=Awareness」は別物です。欧米で言う Awareness Program (Training)は、知識もさることながら、様々なセキュリティリスクに対する意識、自覚をどのように醸成するかという点に重きがおかれています。「知っている」ことと「出来る」ことは本質的に異なります。教育は、こうした意識を高めるための一手段にすぎません。セキュリティ アウェアネス プログラムの目標は、組織の構成員それぞれが、自分のおかれた立場に応じたリスクを自ら意識し、主体的に行動できるようにすることなのです。

日本では、セキュリティ教育と言えば、研修やEラーニングなどを通じての知識教育が、いまだ中心であるようです。もちろん、一部の進んだ組織では、意識付けに重きを置いたコンテンツも組み込まれはじめていますが、まだまだ十分とは言えません。最近、多くの組織が取り入れるようになってきた、いわゆる「標的型メール訓練」も本来は、このアウェアネスプログラムの一環であり、不審メールによるマルウエア感染といった「リスク」への意識を高めることが目的です。

単に擬似的な攻撃メールを流して、開封状況を把握するだけでなく、こうしたプログラムを通じて、構成員の意識を高めるためには、適切なフォローアップも欠かせません。闇雲に実施するだけでは、疑心暗鬼を招き、慣れによってかえってリスクを高めてしまう、いわゆる狼少年効果を招く事になってしまいます。つまり、こうした訓練も、より大きな「アウェアネスプログラム」の中で考えていく必要があるのです。

欧米のセキュリティ関連のコンファレンスでは、必ずと言っていいほど、「セキュリティアウェアネス（Security Awareness）」のセッションやトラックが存在します。そうしたセッションでの議論は結構白熱することが多く、様々な組織が、これを重要なテーマとして捉えていることが伺えます。そうしたコンファレンスのひとつで、以前、参加者の一人が興味深い発言をしていました。
彼女が言うには、「アウェアネス プログラム（Security Program）は社内マーケティングだ」そうです。担当部署は、様々な手段を用いて、構成員の意識をセキュリティに向けさせるキャンペーンを実施します。それが、まさにマーケティングだと言うのです。実際、その会社では、セキュリティ部門にマーケティング部門から人を異動させ、その手法を応用することで成果を上げたということでした。

サイバー攻撃や犯罪が高度化する中で、技術的な防御策は後手にまわりがちです。こうした対策をすりぬけた脅威に対して、最後の防波堤となるのが「人」ですから、「アウェアネス」の向上は、これまでにも増して重要になることは間違いありません。皆様の組織でも、ちょっと考え方を変えて、「自覚・意識=Awareness」を向上させるプログラムを試してみてはいかがでしょうか。