某自治体で実施した
セキュリティ研修の内容

 参加者は30~40名程度。2時間という短い時間だったため、グループ作業は断念し、講義形式で行った。

 まず、ストーカー殺人事件の概要を紹介。さらに、セキュリティポリシーの未順守とその恒常化、首長や管理職の無関心な状況への対応策として、まずは担当者自身が興味を持つことが重要である点などの説明を行った。

 次に、ヒューマンエラーや人間の脆弱性を見せて、筆者が言葉で説明するのでなく、『見えないゴリラ』のビデオを利用、図表で紹介、Q&Aの実施で、客観的な情報からソーシャルエンジニアリングの怖さについて認識してもらった。

 特に受講者からの関心も高かった、ビデオ『見えないゴリラThe Invisible Gorilla』 [2]は、ある項目に注意していると、他に注意を向けられない、重要な事柄を見落とす「非注意性盲目(Inattentional blindness)」が発生することを示唆する心理学では有名な実験だ。数十人の学生にバスケットボールのビデオを見せ、選手のパスの回数を数えてもらうが、実験の本当の目的は「ゴリラが見えるかどうか」。試合の最中に着ぐるみのゴリラが堂々と画面中央を横切っても、半数はそのゴリラに気付かなかいという結果になる。

 下記が、約2時間で実施したカリキュラムの具体的な内容だ。

1.研修目的の説明
2.見えないゴリラのビデオ
3.ヒューマンエラー
4.問題の発見と問題解決
5.誤交付事例(1)を考える
6.誤交付事例(2)を考える
7.ヒューマンエラーの分類
8.ゼロエラーを目指すハインリッヒの法則、割れ窓理論
9.ストーカー殺人事件について
10.誘導質問術
11.窓口対応 手順の確認
12.他自治体 対応事例
13.組織的課題(含 他自治体事例)
14.組織の心理学
(命令系統不備、属人組織)
15.チームSTEPPSの紹介
16.参考資料の紹介