この記事では、スマートグループを使用してセキュリティ意識向上プログラムにゲーミフィケーションを取り入れる方法を学びます。ゲーミフィケーションは、トレーニングコースの修了からフィッシングセキュリティテスト(PST)の報告まで、ほぼ全てのユーザーの行動に対して適用できます。スマートグループを使用して、1か月にPSTを2回報告したなど、優れた行動をとったユーザーを特定できます。
スマートグループの作成に関する一般的な情報については、「スマートグループクイックスタートガイド」を参照してください。
ステップ1:ゲームのルールを計画する
まず、ゲームのルールを計画する必要があります。このプロセスは自由にカスタマイズできるため、以下のような質問を使用してゲーミフィケーションのプロセスを計画することをお勧めします。
- どのようなスキルやアクションをゲーミフィケーションの対象にするか?例えば、Phish Alert Button(PAB)を使用してPSTを報告するようにユーザーを促すことができます。また、特定の期日までにオプションのトレーニングを修了するようにユーザーに求めることもできます。
- ゲームのスコアをどのように決定するか?これは、ゲーミフィケーションプロセスにおける勝利をどのように定義するかという質問です。例えば、あるユーザーが1か月以内に3回PSTを報告したときに、ゲームに勝利(クリア)したことにできます。
- このゲーミフィケーションプロセスを実行する期間をどうするか?時間枠を決定すると、スマートグループの条件を正確に追加できます。
簡易なものから複雑なものまで、ゲーミフィケーションは自由に組み立てることができます。例えば、PSTを報告するという簡単なゲームを作成できます。1か月に最低3回PSTを報告したユーザーが、このゲームに勝利するように設定できます。このゲームで測定するアクションは1つだけですので、スマートグループも1つだけ作成する必要があります。
また、さらに複雑なゲームにすることもできます。例えば、1か月に100ポイントを獲得したユーザーが勝利するゲームを作成できます。ユーザーは、PSTを報告するごとに25ポイントを獲得し、PSTの報告に失敗するごとに25ポイントを失うように設定できます。このゲームでは、ユーザーが実行する可能性があるアクションの組み合わせごとにスマートグループが必要になります。例えば、以下のようなアクションの組み合わせを対象とするスマートグループを作成できます。
スマートグループ1:PSTを4回報告したユーザー。
スマートグループ2:PSTを5回報告し、1回失敗したユーザー。
アクションのこれらの組み合わせの両方は100点になるため、両方のグループにゲームに勝利したユーザーが含まれます。これらのグループの条件は、ユーザーにPSTを送信する頻度に基づいて調整できます。
ステップ2:ゲームで使用するスマートグループを作成する
ルールを計画したら、ゲームのためのスマートグループを作成できます。ゲームを完了できた(勝利した)ユーザーと、完了できなかった(勝利できなかった)ユーザーのスマートグループを作成する必要があります。
最初に、ゲームに勝利したユーザーを特定するスマートグループを作成します。「スマートグループ:条件タイプの用語集」の記事を参照して、自社のグループに最適な基準を見つけることをお勧めします。
例えば、上記の「ステップ1:ゲームのルールを計画する 」セクションの簡易な例を基準にしてゲームを作成する場合、勝利したユーザーのスマートグループを作成することから始めます。このグループには、「勝利したユーザー」など、分かりやすい名前を付けることをお勧めします。
次に、以下の[フィッシングイベント]条件を追加します。
 |
1.[条件]:[である必要がある]を選択します。 |
| 2.[フィッシングイベント]:[報告した回数]を選択します。 | |
| 3.[比較]:[より大きい]を選択します。 | |
| 4.[回数]:フィッシングメールを何回報告しているべきかを入力します。 | |
| 5.[時間枠]:[範囲]を選択します。次に、希望する開始日と終了日を入力します。 |
上記のフィールドに入力したら、[保存]をクリックします。完了した条件は、以下のようになります。
|
[フィッシングイベント] |
2022年1月7日から2022年1月8日にフィッシングテストを報告したことが2回より多いこと。 |
次に、このゲームで勝利しなかったユーザーの1つ以上のスマートグループを作成します。例えば、上記のステップ1:ゲームのルールを計画する」セクションで説明したような簡易なゲームを作成している場合には、勝利しなかったユーザーグループには、受信したPSTを報告しなかったユーザーを含める必要があります。このグループには、「勝利しなかったユーザー」など、分かりやすい名前を付けることをお勧めします。
次に、以下の[フィッシングイベント]条件を追加します。
 |
1.[条件]:[してはならない]を選択します。 |
| 2.[フィッシングイベント]:[報告した回数]を選択します。 | |
| 3.[比較]:[より大きい]を選択します。 | |
| 4.[回数]:フィッシングメールを何回報告しなかったら失敗になるかを入力します。 | |
| 5.[時間枠]:[範囲]を選択します。次に、希望する開始日と終了日を入力します。 |
上記のフィールドに入力したら、[保存]をクリックします。完了した条件は、以下のようになります。
|
[フィッシングイベント] |
2022年1月7日から2022年1月8日にフィッシングメールを報告したことが0回より多くないこと。 |
これらのゲームでは、ユーザーのセキュリティ意識に関するスキルを問う必要があります。ゲームに勝利できなかったユーザーは、セキュリティの知識を向上させる必要があることを把握してもらうことがゲームの目的の1つになります。例えば、PSTの報告に関するゲームを行う場合には、ゲームに勝利しない場合に、ユーザーを補習トレーニングに参加させることもできます。
スマートグループを作成したら、ゲームのルールと期間をユーザーに伝えることをお勧めします。その後、フィッシングやトレーニングなど、KSATコンソールの他の機能を使用してゲームを開始します。
ステップ3:ゲームに勝利したユーザーを褒賞する
ゲームが終了した後、勝利したユーザーを褒賞し、高いセキュリティ意識を今後も維持してもらうようにしてください。例えば、ゲームに勝利したユーザーを祝福するメッセージを送信しても良いでしょう。
ゲームが終了したら、勝利したユーザーのスマートグループを表示して、勝利したユーザー全員を確認してください。このスマートグループを表示するには、[ユーザー] > [グループ]に移動して、スマートグループの名前をクリックします。スマートグループの概要ページで[CSVの生成]ボタンをクリックして、この情報をCSVファイルとしてエクスポートすることもできます。
