ストーリーテリングの手法を活用したセキュリティ教育

このブログはこちらの英語ブログ（2024年9月5日公開）の参考和訳です。

今日のデジタル世界において、サイバーセキュリティは単なる技術的な問題だけではなく、人の問題でもあります。Oktaでは、セキュリティ教育に新たなアプローチを取り入れ、人類が太古の昔から利用してきたストーリーテリングを活用しています。効果的かつ魅力的で記憶に残るセキュリティ教育を目指して、トレーニングセッションにストーリーを組み入れています。

ストーリーテリングとは？

ストーリーテリングは、単なる情報伝達の方法ではなく、人とつながり、体験を共有し、考え方や感情にも強い影響を与えることができる方法です。International Storytelling Centerでディレクターを務めるJimmy Neil Smith氏は、次のように述べています。「人は誰もが語り手であり、ストーリーを共有し合う繋がりの中で生きています。ストーリーテリングほど、人のつながりを強めるものはありません」

このつながりこそが、ストーリーテリングが非常に強力な教育手法となる理由です。私たちがストーリーを語るときには、単に情報を伝えるだけでなく、感情に深く関わる体験を生み出します。感情に訴えるこの手法は、トレーニングセッションが終了した後も、レッスンの内容をより定着させるのに役立ちます。

優れたストーリーの要素

説得力のあるストーリーには、いくつかの重要な要素があります。

1. 登場人物：すべてのストーリーにはヒーローが必要であり、多くの場合、悪役も必要です。たとえば、サイバーセキュリティのストーリーでは、ヒーローはコードレビューで脆弱性を発見する従業員であり、悪役はシステムを侵害しようとする攻撃者です。
2. ヒーローの旅：ヒーローが試練に直面し、障害を乗り越え、最終的に勝利を収める（または敗北から貴重な教訓を得る）というストーリーの流れです。
3. 対立と解決：優れたストーリーは、対立を中心を展開されます。対立は、侵害の試み、セキュリティの欠陥、修正が必要なリスクの高い行動などです。解決は、登場人物（またはオーディエンス）が課題に対処し、解決する方法を学ぶ過程です。
4. 教訓：オーディエンスがストーリーから学ぶべき内容です。実践的なアドバイス、新たな視点の獲得、または実行すべきアクションなどを指します。

Oktaは、これらの要素をセキュリティ教育に取り入れて、オーディエンスに響く共感しやすいシナリオを作成しています。OWASP（Open Web Application Security Project）の上位10の脆弱性を単に並べるのではなく、「Oktaが考える最も重要な10の脆弱性」、つまりコードレビューなどを通じてOktaが把握している上位10の脆弱性に関係するストーリーを伝えています。Oktaは、これらの抽象的な概念を具体化するために、現実の事例や比喩を取り入れています。

セキュリティトレーニングにおけるストーリーの活用方法

1. オーディエンスを把握する：オーディエンスの背景、専門知識、関心を把握することは非常に重要です。Oktaでは、Okta社員の共感を得ることができない一般的な事例は避けるようにしています。代わりに、セキュリティの概念を身近に感じてもらえるよう、Oktaのコードベースで見つかった具体的な例を使用しています。
2. 感情的なつながりで引き込む：共感できるシナリオから始めます。個人の体験に基づいたストーリーを使用して、課題への共感を表し、セキュリティの問題が直接どのように影響するかを強調して伝えます。
3. 関心を持ってもらう：要点を確実に伝えるためには、セキュリティの不備によって現実世界でどのような影響が生じるのかを説明することが重要です。ベストプラクティスを無視した場合の悪影響と、従った場合のプラスの効果の両方を示します。
4. 記憶に残りやすい情報を提供する：ユーモラスなエピソード、ドラマチックなストーリー展開、意外な結末など、オーディエンスの記憶に残りやすい重要ポイントを入れておきましょう。これにより、学んだ教訓をしっかりと身に付けることができ、より優れたセキュリティ対策を実践できるようになります。

Oktaにおけるストーリーテリングの実践

Oktaに入社したとき、私の最初の仕事の1つは、セキュアコーディングのトレーニングを見直すことでした。従来の講義中心のトレーニングからストーリーテリングを活用したトレーニングへと移行することを決断し、ゲーム、SF、ファンタジーの要素を取り入れて、技術系オーディエンスに共感してもらえる物語を作成することにしました。

製品開発チームのメンバーである「The Devs」のような架空の登場人物を創り出し、現実のセキュリティの問題を模倣したシナリオに登場させました。これらの多様な登場人物と現実に即したシナリオによって、セキュリティ対策の重要性をより親しみやすく、効果的に伝えられるようになりました。

たとえば、あるトレーニングモジュールでは、とあるクラブへの不正アクセスをハッカーが試みるケースを取り上げて、安全なエリアに侵入する過程を描きました。この例により、興味を引きつけながら学びを提供する方法で、認証の問題と特権のエスカレーションを視覚的に示すことができました。

ストーリーテリングが効果的な理由

優れたストーリーには驚きがあり、私たちを考えさせ、感じさせ、長く心に残り続けます。サイバーセキュリティのトレーニングでこのようなストーリーを活用することで、従業員が教訓を忘れることなく、日常業務に生かす可能性が高くなります。

Oktaではこのアプローチを継続し、ストーリーテリングをセキュリティ文化に深く取り入れて、教育資料を有益なものにし、Okta独自の文化を反映していきます。

ストーリーテリングを取り入れることで、セキュリティトレーニングを退屈なタスクから記憶に残る体験に変えることができ、組織全体でセキュリティ意識を高める文化を育むことができます。

おわりに

ストーリーテリングは、セキュリティ教育で活用できる強力なツールです。これにより、より魅力的で、関連性が高く、記憶に残るトレーニングになり、従業員がセキュリティベストプラクティスについて学ぶだけでなく、業務に反映できるようになります。Okta社員からは、トレーニングが親しみやすく、楽しくなったというフィードバックが寄せられています。また、以前のトレーニングに比べて期日内の完了率も高くなりました。今後も、ストーリーテリングを使用して、すべてのチームメンバーがOktaの価値である「Always secure. Always On」を実践できるように、より強力なセキュリティ文化を作り上げるべく取り組んでいきます。

詳細を見る

Oktaのセキュリティ教育チームは、10月のOktaneで「強力なセキュリティ教育プログラムの構築」と題した講演を行います。

ストーリーテリングの詳細については、7月に開催されたCloudNative SecurityConにおける私の基調講演もご視聴ください。また、2024年10月23日に開催されるEWF（Executive Women's Forum）年次カンファレンスでは、ストーリーテリングの手法を活用したセキュリティ教育に関する2つのセッションを担当します。

以上の内容は、原文（英語）の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。