“危ない社員”をあぶり出す「人的リスク定量化モデル」とは? 導入するには「セキュリティ意識向上研修」の効果を高める方法【第4回】

従業員に起因するセキュリティリスクの特定に役立つプロセス「人的リスク定量化モデル」の人気が高まりつつある。人的リスク定量化モデルの詳細と、その取り入れ方を紹介する。

2022年07月11日 05時00分 公開
[Isabella HarfordTechTarget]

関連キーワード

セキュリティ


 第3回「“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?」は、セキュリティ意識向上研修の効果を改善するためにできることを紹介した。その一つに従業員に起因するセキュリティリスクを特定するためのプロセス「人的リスク定量化モデル」の導入がある。

「人的リスク定量化モデル」とは? どのように取り入れればいいのか

会員登録(無料)が必要です

 「人的リスク定量化モデルの人気が高まりつつある」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は言う。人的リスク定量化モデルは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するために役立つプロセスだ。一部の企業は人的リスク定量化モデルの使用を始めており、リスクの高い行動を特定して、安全でない行動を取る従業員にフラグを立てているという。フラグが立った従業員に、企業は自動化された研修をすぐに実施するよう促す。ここで実施するのは年1回の幅広い研修とは異なり、時間が短く、個別化され、具体的な状況に応じたものだ。

 研修の自動化は今後さらに前進する可能性がある。セキュリティの自動対策ツールや自動分析ツールが、セキュリティリスクの予防や従業員の意識向上を進めると考えられる。

 「プロセスが理にかなっていて自動化が進んでいれば、研修は必要ない」と調査会社Nemertes Researchの最高経営責任者(CEO)兼創設者であるジョナ・ティル・ジョンソン氏は考える。「例えば銀行は、何億ドルも使って『利用者がATM(現金自動預け払い機)にカードを忘れないようにするためのフォロー方法を教える従業員研修』を実施することもできた。だがそうせずに、利用者がカードを取ってからでないと現金を取れないようにATMの設定を変えた」(ジョンソン氏)

 企業は、セキュリティに同様のアプローチを採用できる。例えば従業員にUSBメモリの使用を許可していない会社では、スクリプトを使って、自動的に未承認のデバイスがPCに接続することを拒否したり、接続を切断したりすることができる。

 セキュリティインシデントを抑止する“ガードレール”は無駄ではないが、企業を守れるかどうかは従業員の責任に左右される。だが従業員は一般的に、自分の役割や職務が、企業のセキュリティにどう影響するのかを理解していない。それが根本にある問題だ。

 第5回は、従業員のセキュリティ意識をさらに高めるための手法を紹介する。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 ゾーホージャパン株式会社

医療業界を襲うランサムウェアや持続的標的型攻撃、どう対処すればよいのか?

半田病院への攻撃をはじめとし、医療業界は依然マルウェア攻撃やDDoS攻撃といったサイバー脅威に頻繁にさらされている。IoTやデジタル治療も普及する中、患者の健康情報を犯罪者から守り、多様な規制にも対応するにはどうすればよいのか。

事例 キヤノンマーケティングジャパン株式会社

大手前学園の事例に学ぶ、人材不足でも強固なセキュリティを実現する方法

教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。

事例 キヤノンマーケティングジャパン株式会社

専門人材が不足する中でゼロトラストを実践するには? 事例に見るMDRの効果

医療機関へのサイバー攻撃が激化する中、医療情報システムを扱うSIベンダーであるテクトロンは、顧客への責任を果たすため、さらなるセキュリティ強化に取り組んでいる。そんな同社が負担なく短期間でセキュリティを向上させた方法とは?

事例 キヤノンマーケティングジャパン株式会社

多拠点のセキュリティ確保&トラブル対応が困難に、ヴィアックスはどう解決した

担当する図書館が全国で約100拠点にまで成長する一方、ネットワーク環境のばらつきによりサイバーセキュリティ対策が課題だったヴィアックス。同社は、24時間365日体制で高精度なセキュリティを確保するために、あるXDR製品を導入する。

市場調査・トレンド パロアルトネットワークス株式会社

クラウド時代に組織が取り組むべきセキュリティ施策とは?

世界10カ国・2800人以上を対象に実施した「クラウドネイティブセキュリティ調査」(2024年度)が公開された。この結果から、組織が取り組むべきセキュリティ施策を考察する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

アクセスランキング

2025/07/23 UPDATE

  1. なぜ「コード生成AI」を信じてはいけない? 便利さに潜む“5つのリスク”
  2. パスワードと似ているけど安全性が大違い? 「パスキー」「パスフレーズ」とは
  3. なぜ「CNAPP」がいま必要なのか? CASBやCSPM、既存ツールとの違いは?
  4. 「非人間ID」保護が急務に 46%が侵害を経験、データ漏えいも相次ぐ
  5. ゼロトラスト「失敗35%」――それでも“現状維持”こそ危ない理由
  6. “どれが危険か”ではなく「SaaSそのものが致命的」 金融CISOが衝撃の一声
  7. いまさら聞けない「SIEM」「SOAR」「XDR」の役割と活用シーン
  8. なぜ「Windows Hello」は“パスワード不要”でも信頼できるのか?
  9. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  10. “単純な手口”が招いた93億円の公金詐欺 学ぶべき「セキュリティの鉄則」とは?

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方