「クリックした犯人探しは逆効果」AIセキュリティ教育導入の裏側で起きていた戦い
「AIを活用して、継続的かつ自動で『人的ファイアウォール』を構築しましょう」
立派な資料を前に、私はクライアントの会議室でそう語っていました。最新の脅威動向、AIが如何に従業員一人ひとりに最適化された教育を提供するか、そして管理者の工数が劇的に削減される輝かしい未来…。聞こえは、最高ですよね。まるで魔法の杖を振れば、明日から会社が鉄壁の要塞になるかのようです。
AIで社内セキュリティ教育を効率化する実践ガイド|フィッシング訓練の自動化とプラットフォーム徹底比較 「またセキュリティ研修の案内か…」「忙しいのに面倒だな」。従業員からそんな声が聞こえてきたり、情シス担当者自身が毎月の訓練[…]
しかし、長年この仕事に携わっていると、痛いほどわかることがあります。どんなに優れたシステムも、それを使う「人」の心に届かなければ、ただの“高価な箱”に成り下がるということを。
今回は、AIによるセキュリティ教育プラットフォームの導入プロジェクトで私が体験した、資料には決して書かれることのない「泥臭い現実」についてお話ししたいと思います。これは、最新テクノロジー導入の裏で繰り広げられた、マネジメントとコミュニケーションを巡る、ある担当者と現場のベテラン、そして私との静かな戦いの記録です。
第一幕:正論という名の「槍」が、現場に突き刺さった日
そのプロジェクトは、地方に本社を構える、実直な物造りで成長してきた中堅製造業でのことでした。情報システム部の担当者である佐藤さん(30代)は、非常に真面目で勉強熱心な女性。経営層からの「DX推進」と「セキュリティ強化」という特命を受け、私と共にこのプロジェクトを推進するパートナーでした。
問題は、全社説明会で起こりました。私たちが導入しようとしているシステムの目玉機能の一つ、「標的型攻撃メール訓練」について説明していた時です。
「このシステムでは、疑似的な攻撃メールを定期的に従業員の皆さんへ配信します。そして、どなたがメールを開封し、リンクをクリックしてしまったかを記録し…」
私の言葉が終わるか終わらないかのうちに、会場の空気が一瞬で凍りついたのを肌で感じました。最前列に座っていた、いかにも現場一筋といった風貌の製造部長が、ゆっくりと腕を組み、鋭い視線を私に向けてきました。木村部長、御年62歳。この会社の生き字引のような存在です。
木村部長:「…ちょっと待ってけろ。そんげなごどして、誰がヘマしたかリストアップして、吊し上げるつもりだべ?」
その庄内弁の重い一言が、会場のざわめきを代弁していました。若手社員たちは不安そうに顔を見合わせ、「マジかよ…」「監視されるってこと?」という囁き声が聞こえてきます。
隣に立つ佐藤さんは、みるみる顔色を失っていきました。彼女が慌ててマイクを握ります。
佐藤さん:「あ、いえ、木村部長、そういうことではなくてですね、これはあくまで訓練でして、個人のスキルアップを目的としたもので…」
しどろもどろになる彼女の説明は、一度警戒心を抱いた現場の耳には届きません。
木村部長:「スキルアップ? 間違った人間ば見で笑うのがスキルアップのが? 俺だぢは物ば作ってんだ。一日中パソコンの前さ座ってるおめだぢとは違う。そんなことで、現場の仕事ば邪魔すんなでの。」
正論でした。しかし、それは現場のプライドと感情を無視した「冷たい正論」でした。このままでは、プロジェクトは船出の前に座礁する。私は咄嗟にマイクを手に取り、佐藤さんの肩をそっと叩いて前に出ました。
私:「木村部長、おっしゃる通りです。もしこの仕組みが『犯人探し』のために使われるのであれば、それは百害あって一利なしです。私も絶対に反対します。」
まず、相手を肯定する。鉄則です。木村部長の眉がピクリと動きました。
私:「少し、たとえ話をさせてください。これは、インフルエンザの予防接種に似ているんです。誰かを病気だと責めるために打つ人はいませんよね? 全員で会社という体を守るために、誰が抗体を持っていて、誰に少し補強が必要かを知るための『健康診断』なんです。」
会場の空気が、少しだけ和らぎます。
私:「そして、この仕組みで本当に評価されるべきは、クリックしなかった人…ではありません。むしろ、『これ、あやしいぞ』と、報告ボタンを押してくれた人なんです。その一本の報告が、会社全体を救うかもしれない。私たちは、クリックした人を責めるのではなく、報告してくれた人を『ヒーロー』として称賛する文化を作りたいんです。これは、監視ではなく、皆で強くなるためのチームプレイです。」
木村部長は腕を組んだまま、黙って私を見つめていました。納得したわけではない、しかし、単なる敵ではないと認識してくれたような、そんな複雑な表情でした。説明会は、なんとか嵐を乗り切ったものの、重い宿題が残ったことは明らかでした。
第二幕:板挟みの担当者と、逆転の発想から生まれた「小さな実験」
説明会後の会議室。佐藤さんは、すっかり意気消沈していました。
佐藤さん:「すみません、私の説明不足で…。やっぱり、現場の皆さんからすると、私たちは『監視する敵』に見えちゃいますよね…。」
私:「佐藤さん、謝らないでください。今日のは想定内です。むしろ、あれだけハッキリ本音を言ってもらえたのは収穫ですよ。問題がどこにあるか、明確になったんですから。」
私:「それに、これは佐藤さんにとって大きなチャンスです。情シスが『敵』じゃなくて、みんなを守る『味方』なんだってことを証明するチャンスが来たんですよ。」
そう言って、私は彼女に一つの提案をしました。いきなり全社という大きな船を動かすのではなく、まずは小さなボートから漕ぎ出してみる。「小さな成功事例」を作るための、パイロットテストです。
私:「いきなり製造部のような一番抵抗の強い部署を説得するのは難しい。まず、情報システム部と、比較的ITツールに慣れている営業部の有志だけで始めてみませんか? ここで『ほら、やってみたら面白いし、役に立つでしょ?』という空気を作ってしまうんです。」
佐藤さんの目に、わずかに光が戻りました。
私たちは作戦を練りました。ただ訓練メールを送るだけでは、また「テストされている」という感覚が強くなる。そこで、徹底的にゲームの要素を取り入れたのです。
- ポジティブなネーミング: プロジェクト名を「サイバー防災訓練」と命名。「セキュリティ」という言葉の持つ硬さを和らげました。
- ゲーミフィケーションの導入: 「不審メール報告王ランキング」を作成。報告件数が一番多かった人には、月末に社長から直々にコーヒーチケットが贈られる、というささやかなインセンティブを設定しました。
- 称賛文化の醸成: 誰かが報告ボタンを押すと、部署のチャットツールに「〇〇さんが不審メールを報告しました!ナイスプレー!」と自動で投稿されるように設定。引っかかった時の学習画面も、「残念!」ではなく「ナイスチャレンジ!このタイプの見分け方は…」と、前向きな言葉を選びました。
- 徹底したコミュニケーション: 「これはテストではありません、訓練です。失敗は大歓迎!そこから学ぶことが目的です!」というメッセージを、佐藤さん自身の言葉で何度も発信してもらいました。
実験が始まって1週間。最初は警戒していた営業部のメンバーも、チャットに流れる「ナイスプレー!」の通知や、ランキングの途中経過を見て、次第にゲーム感覚で参加し始めました。
「今のメール、訓練ですよね?」「あー、惜しい!クリックしちゃった!」
そんな会話が、部署内で自然に生まれるようになっていったのです。最も大きな変化は、「これって本物? 訓練?」という相談が、佐藤さんの元へ直接届くようになったことでした。彼女はもう「監視者」ではなく、「頼れる相談相手」になり始めていました。
2ヶ月後、パイロットグループの訓練メール報告率は、当初の予想を遥かに超える80%に達しました。私たちは、この確かな手応えと具体的なデータを手に、ラスボスである木村部長のもとへ向かう準備を整えたのです。
第三幕:頑固なベテランの心を溶かした「サイバー空間のヒヤリハット」
再び、木村部長の執務室。私と佐藤さんは、パイロットテストの結果報告書を手に、緊張した面持ちで座っていました。
私:「部長、先日の説明会以降、一部の部署で試験的に訓練を始めさせていただきました。こちらがその結果です。」
部長は分厚い報告書にちらりと目をやりましたが、すぐに顔を上げました。
木村部長:「ふん。おめだぢの息のかかった部署だげでやったって、そりゃうまぐいぐべ。数字なんて、いくらでも作れるさげの。」
手厳しい。しかし、これも想定通りです。データやロジックだけでは、この人を動かせないことは分かっていました。私は、報告書から視線を外し、まっすぐ木村部長の目を見て、切り口を180度変えました。
私:「木村部長。少し話が逸れますが、この工場で最初に『ヒヤリハット報告活動』を始められたのは、部長ご自身だと伺いました。」
部長の表情が、わずかに変わりました。それは、彼が人生をかけて築き上げてきた、誇りの領域に触れる言葉だったからです。
木村部長:「…んだ。もう30年も前の話だ。あの頃は、誰も小さなミスなんて報告しねがった。怪我人が出ねうぢは、隠すのが当たり前だったさげの。」
私:「なぜ、報告を徹底されようと思ったのですか?」
木村部長:「決まってるべ。大きな事故が起きる前に、小さな芽を摘んでおがねば、誰かが取り返しのつかね怪我をするがらだ。仲間を守るためだ。当たり前の話だべ。」
その言葉を、私は待っていました。
私:「…それです、部長。私たちがやろうとしていることは、それと全く同じことなんです。」
部長が、怪訝そうな顔で私を見ます。
私:「私たちがやっているのは、サイバー空間での『ヒヤリハット活動』なんです。従業員がうっかりメールをクリックしてしまう。これは、工場で言えば『おっと、床が濡れていて滑りそうになった』というヒヤリハットです。命に別状はないけれど、危なかった、というサイン。これを『ヘマをした』と責めて隠させてしまえば、いつか本当に滑って大怪我をする人が現れる。つまり、本物のウイルスに感染して、工場全体の生産が止まるような大事故が起こってしまうんです。」
私は一呼吸おいて、続けました。
私:「私たちは、その小さな『危なかった』を、正直に報告してもらえる文化を作りたい。そして、報告してくれた人に『ありがとう。おかげで床を拭けるよ』と感謝したいんです。部長が30年間、この工場で築き上げてこられた安全文化を、今度はパソコンの中に、会社全体に広げていきたい。どうか、そのお力を貸していただけないでしょうか。」
沈黙が流れました。木村部長は、腕を組んだまま、じっと窓の外に広がる自分の工場を見つめていました。やがて、彼はゆっくりとこちらに顔を向け、まるで長年の迷いが晴れたかのように、ふっと息を吐きました。
木村部長:「…サイバーの、ヒヤリハット、か。…なるほどの。おめ、なかなが面白いごど言うの。わがった。次の製造部の朝礼で、俺がら話してみる。『これはデジタルでのヒヤリハット活動だ。みんなで報告して、工場と同じように安全な職場にすっぞ』ってな。」
最大の抵抗勢力が、最強の推進者へと変わった瞬間でした。
終幕:ツールが変えるのは仕組み、文化を変えるのは「翻訳」という名のコミュニケーション
この後、プロジェクトは嘘のようにスムーズに進み始めました。木村部長の一声で、製造部のメンバーも前向きに訓練に参加するようになり、「報告王」の座を営業部と競い合うまでになりました。
佐藤さんは、今ではすっかり自信をつけ、部署間の壁を越えて活躍する頼もしい存在になっています。彼女はもう、システムの機能やスペックの話はしません。代わりに、現場の言葉で「これは、みんなの仕事と生活を守るための『防災訓練』なんですよ」と、笑顔で語りかけています。
元記事で紹介されているようなAIプラットフォームは、間違いなく強力で、私たちの仕事を効率化してくれます。しかし、今回の経験を通して私が改めて確信したのは、ツールはあくまで「仕組み」を変える道具でしかない、ということです。
本当に組織を強くする「文化」を変えるのは、テクノロジーではありません。それは、相手の歴史や価値観に敬意を払い、彼らが大切にしている言葉に「翻訳」して語りかける、地道なコミュニケーションの積み重ねです。
「セキュリティ強化」を「仲間を守るヒヤリハット活動」に。
「監視」を「チームで行う防災訓練」に。
「罰則」を「称賛と学習の機会」に。
もしあなたが今、新しいシステムの導入で現場の抵抗に悩んでいるのなら、少しだけ立ち止まってみてください。あなたが語る「正論」は、相手の心に届く「言葉」になっているでしょうか。そのシステムの先に、彼らが共感できる「物語」を見せてあげられているでしょうか。
本当の改革は、システムのログイン画面の先にある、人の心の中から始まるのですから。
