従業員に起因するセキュリティリスクの特定に役立つプロセス「人的リスク定量化モデル」の人気が高まりつつある。人的リスク定量化モデルの詳細と、その取り入れ方を紹介する。
第3回「“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?」は、セキュリティ意識向上研修の効果を改善するためにできることを紹介した。その一つに従業員に起因するセキュリティリスクを特定するためのプロセス「人的リスク定量化モデル」の導入がある。
「人的リスク定量化モデルの人気が高まりつつある」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は言う。人的リスク定量化モデルは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するために役立つプロセスだ。一部の企業は人的リスク定量化モデルの使用を始めており、リスクの高い行動を特定して、安全でない行動を取る従業員にフラグを立てているという。フラグが立った従業員に、企業は自動化された研修をすぐに実施するよう促す。ここで実施するのは年1回の幅広い研修とは異なり、時間が短く、個別化され、具体的な状況に応じたものだ。
研修の自動化は今後さらに前進する可能性がある。セキュリティの自動対策ツールや自動分析ツールが、セキュリティリスクの予防や従業員の意識向上を進めると考えられる。
「プロセスが理にかなっていて自動化が進んでいれば、研修は必要ない」と調査会社Nemertes Researchの最高経営責任者(CEO)兼創設者であるジョナ・ティル・ジョンソン氏は考える。「例えば銀行は、何億ドルも使って『利用者がATM(現金自動預け払い機)にカードを忘れないようにするためのフォロー方法を教える従業員研修』を実施することもできた。だがそうせずに、利用者がカードを取ってからでないと現金を取れないようにATMの設定を変えた」(ジョンソン氏)
企業は、セキュリティに同様のアプローチを採用できる。例えば従業員にUSBメモリの使用を許可していない会社では、スクリプトを使って、自動的に未承認のデバイスがPCに接続することを拒否したり、接続を切断したりすることができる。
セキュリティインシデントを抑止する“ガードレール”は無駄ではないが、企業を守れるかどうかは従業員の責任に左右される。だが従業員は一般的に、自分の役割や職務が、企業のセキュリティにどう影響するのかを理解していない。それが根本にある問題だ。
第5回は、従業員のセキュリティ意識をさらに高めるための手法を紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
