教育・訓練の効果を
適切に評価する方法
(1) カークパトリック&ジャック・フィリップスの教育評価
教育・訓練の難しさに、「教育・訓練効果の測定」がある。標的型メール攻撃訓練は、「クリック率」で、効果をある程度把握できるが、一般的に教育・訓練の効果を適切に測定することは難しい。
そこで若干抽象的だが紹介したいものとして、カークパトリックの「4段階評価」がある。これは、アンケートや筆記試験、インタビュー等を通して、教育・訓練効果を4段階評価するものだ。
さらに、「研修の効果を収益に換算し、研修投資額と比較する」考えで、カークパトリックの4段階評価に「投資対効果(ROI)」を加えたジャック・フィリップス(Jack Phillips)の5段階評価もある。全ての教育・訓練でこうした評価を実施することは難しいが、一つの考え方として参考になる。
(2) NPS: Net Promotor Score(ネットプロモータースコア)
もう一つ紹介したいのが、「NPS: Net Promotor Score(ネットプロモータースコア)」だ。これは、受講者に「自分が受講した研修を他者に推薦できるか?」と質問し、最低を0(全く可能性がない)、最高を10(極めて推奨する可能性が高い)として評価するもの。8以上が望ましいとされている[2]。
標的型メール攻撃対策などの教育・訓練などを実施して、どれくらい効果があるのか、セキュリティ対策への理解がいまだ乏しい経営陣に報告する際には、担当者は頭を悩ませるかもしれない。その場合は、こうした評価方法も参考にしてみると効果的ではないだろうか。
(情報セキュリティ大学院大学名誉教授 内田勝也)
【参考資料】
[1] Lance Spitzner、Measuring Change in Human Behavior、2014、RSA Conference 2014
[2] フレッド・ライクヘルド『顧客ロイヤルティを知る「究極の質問」』ランダムハウス講談社