“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?「セキュリティ意識向上研修」の効果を高める方法【第3回】

セキュリティ意識向上研修の効果を高める鍵の一つは、研修の効果を測る指標の設定方法にある。どのような指標を設定すればよいのか。Gartnerが勧める方法を紹介する。

2022年07月04日 05時00分 公開
[Isabella HarfordTechTarget]

関連キーワード

セキュリティ


 第2回「毎年やっても意味がない? 『セキュリティ研修』を無駄にする“あの慣習”」は、セキュリティ意識向上研修の効果が出にくい理由を解説した。第3回となる本稿は、こうした研修を有益なものにするためにできることを解説する。

“コンプラ用研修”は無意味? Gartnerが勧める研修とは

 第2回で解説した通り、セキュリティ意識向上研修には効果が出にくい理由がある。だがこうした研修はなくならない。

 「セキュリティ意識向上研修は、セキュリティチームが企業で実施する最も対外的な活動だ」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は話す。「“フードをかぶった人”や、施錠や鍵といったセキュリティの退屈なイメージを定着させてしまうと、セキュリティから余計に人々を遠ざけることになる」(バッジ氏)

 セキュリティ意識向上研修を有益なものにし、研修が終わった後も従業員の意識に内容が残るようにするにはどうすればよいのか。そのためには「コンプライアンスのためだけの研修」をやめて、人間の行動や企業の文化に注目することが重要だ。

 「当社のクライアントには、活動の指標ではなく行動結果の指標を測定するよう勧めている」と調査会社Gartnerのディレクターアナリスト、ウィリアム・キャンドリック氏は言う。研修の実施回数を指標にすると従業員の理解度を測定できない。そのため、例えばフィッシング詐欺攻撃のシミュレーション研修であれば、「詐欺メールに記載されたURLのクリック率」や「詐欺メールの報告率」といった行動結果を指標にするとよい。こうした指標は、セキュリティ意識向上プログラムが成功しているかどうか、研修に改善点はあるかどうかといった洞察を与えてくれる。

 こうした行動結果の指標から得た洞察は、「人的リスク定量化モデル」の指針になる。人的リスク定量化モデルとは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するためのプロセスだ。最終的に企業は、「従業員がパスワードマネジャーを使用しない」「データ損失防止ソフトウェアを無視する」といったリスクの高い行動を減らすことでセキュリティリスクを軽減できる。


 第4回は、人的リスク定量化モデルの取り入れ方を紹介する。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

ITmedia マーケティング新着記事

news176.jpg

「伊右衛門」「日清麺職人」「鍋キューブ」に見る2024年上半期食品・飲料トレンドは「うま濃い余韻」
食品メーカーの商品開発やマーケティング支援などを行う味香り戦略研究所は、2024年の食...

news076.jpg

オラクルが広告事業から撤退へ ポストCookie時代の業界地図は変わるか?
Oracleは「Responsys」「Moat」「BlueKai」などの買収を重ねて広告部門を構築してきた。...

news068.jpg

琉球泡盛「残波」「海乃邦」の海外展開を例に考える日本のブランドが持つべき視点
日本のブランドが海外展開で持つべき視点とはどのようなものか。2024年4月にI&CO APAC代...