標的型メール攻撃標的型メール攻撃を防止するための望ましい教育や訓練とは? Photo:PIXTA

近年増加している標的型メール攻撃による情報漏洩。この最大の要因は、高度なサイバー攻撃や避けようのないウイルス感染ではなく、「ヒューマンエラー」だとこれまでも紹介してきた。では、そうしたヒューマンエラーを防ぐために、企業などの組織はどのような教育・訓練を従業員に行うべきか。情報セキュリティ大学院大学の内田勝也名誉教授が、情報セキュリティにおける効果的なヒューマンエラー対策の教育・訓練について、解説する。

航空業界と医療業界における
ヒューマンエラー対策の実態

 ヒューマンエラー対策は、特に事故が発生すると大きな問題につながる業界において、古くから行われてきた。決して、彼らも何か特殊なことを行っているわけではない。当然のことを体系化し、関係者を教育・訓練している。

 まずここでは、航空業界や医療業界におけるエラー対策を紹介したい。安全維持が絶対に欠かせない業界であるため、「危機管理対応」と言っても相違はない。

(1) 航空業界の場合――CRM(Crew Resource Management)

 NASAは1970年代後半に、技術・経験ともに豊富なクルー36組を集め、シミュレータを使って、適切な状況認識やチームワークが取れているかをテストした。膨大な実験結果から、条件を満たし、無事生還できたのは、わずか1組だった。

 この結果から、1979年のワークショップで、乗員のチームワークによるエラーを防止するための方策として「CRM: Cockpit Resource Management」の発表を行い、航空業界でのエラー防止、航空機事故防止を以下のように整理した。

1. 積極的コミュニケーション
2. 機長のリーダーシップ
3. 適切な権威勾配※1
4. 正確な意思決定など
※1)権威勾配:機長と副操縦士、航空機関士間の“権威落差”を指す。これが急過ぎると、上長(機長)に対して異なる意見を主張することは難しく、事故につながりやすいとされた。

 この後、各航空会社はCRMを取り入れ、1995年には米国連邦航空局(FAA)がCRM訓練を米国航空会社に義務付けたが、その際、操縦室(Cockpit)内だけでなく、キャビンアテンダントや地上運航管理者、整備士を含め、「Crew Resource Management」に改められた。