“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?「セキュリティ意識向上研修」の効果を高める方法【第3回】

セキュリティ意識向上研修の効果を高める鍵の一つは、研修の効果を測る指標の設定方法にある。どのような指標を設定すればよいのか。Gartnerが勧める方法を紹介する。

2022年07月04日 05時00分 公開
[Isabella HarfordTechTarget]

関連キーワード

セキュリティ


 第2回「毎年やっても意味がない? 『セキュリティ研修』を無駄にする“あの慣習”」は、セキュリティ意識向上研修の効果が出にくい理由を解説した。第3回となる本稿は、こうした研修を有益なものにするためにできることを解説する。

“コンプラ用研修”は無意味? Gartnerが勧める研修とは

会員登録(無料)が必要です

 第2回で解説した通り、セキュリティ意識向上研修には効果が出にくい理由がある。だがこうした研修はなくならない。

 「セキュリティ意識向上研修は、セキュリティチームが企業で実施する最も対外的な活動だ」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は話す。「“フードをかぶった人”や、施錠や鍵といったセキュリティの退屈なイメージを定着させてしまうと、セキュリティから余計に人々を遠ざけることになる」(バッジ氏)

 セキュリティ意識向上研修を有益なものにし、研修が終わった後も従業員の意識に内容が残るようにするにはどうすればよいのか。そのためには「コンプライアンスのためだけの研修」をやめて、人間の行動や企業の文化に注目することが重要だ。

 「当社のクライアントには、活動の指標ではなく行動結果の指標を測定するよう勧めている」と調査会社Gartnerのディレクターアナリスト、ウィリアム・キャンドリック氏は言う。研修の実施回数を指標にすると従業員の理解度を測定できない。そのため、例えばフィッシング詐欺攻撃のシミュレーション研修であれば、「詐欺メールに記載されたURLのクリック率」や「詐欺メールの報告率」といった行動結果を指標にするとよい。こうした指標は、セキュリティ意識向上プログラムが成功しているかどうか、研修に改善点はあるかどうかといった洞察を与えてくれる。

 こうした行動結果の指標から得た洞察は、「人的リスク定量化モデル」の指針になる。人的リスク定量化モデルとは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するためのプロセスだ。最終的に企業は、「従業員がパスワードマネジャーを使用しない」「データ損失防止ソフトウェアを無視する」といったリスクの高い行動を減らすことでセキュリティリスクを軽減できる。

 第4回は、人的リスク定量化モデルの取り入れ方を紹介する。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 株式会社エーアイセキュリティラボ

最短10分で診断を開始、脆弱性診断の内製化を簡単に実現するツールとは?

自社のWebサービスやアプリの安全性をチェックする脆弱性診断は、これまでIT部門で担当することが多かったが、開発部門や事業部門でも実施したいというニーズが高まっている。求められているのは、より手軽な脆弱性診断ツールだ。

市場調査・トレンド ゼットスケーラー株式会社

従来型SD-WANはもう限界? 防御強化と運用簡素化を実現するゼロトラスト実践術

クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。

製品資料 伊藤忠テクノソリューションズ株式会社

シングルベンダーSASEリーダーのNetskopeの実力とは?

企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。

市場調査・トレンド HENNGE株式会社

約2分の動画で分かる:ゼロデイ攻撃への対策が難しい理由と有効な予防策

ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。

製品レビュー HENNGE株式会社

2分で分かる、期限切れドメインを悪用する「ドロップキャッチ」の手口と対策

事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/24 UPDATE

  1. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  2. パスワードより安全で覚えやすい「パスフレーズ」の作り方
  3. パスワードはむしろ「危険」? 認証基盤を強化するこつは
  4. “複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
  5. macOSのデフォルト無効の「ファイアウォール」を使うべき理由とは?
  6. 脆弱性識別子「CVE」に突如として訪れた“存亡の機” これからどうなる?
  7. “普通のアプリ”が危ない? 世界を揺るがす新型スパイウェアの正体
  8. IPA「情報セキュリティ10大脅威」を単なるランキングで終わらせない方法
  9. イースターに合わせてサイバー攻撃 英国小売り大手が受けた被害の実態は
  10. 信頼していたWebサイトがまさかの感染源? 「水飲み場型攻撃」の手口とは

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方