“危ない社員”をあぶり出す「人的リスク定量化モデル」とは？ 導入するには：「セキュリティ意識向上研修」の効果を高める方法【第4回】

従業員に起因するセキュリティリスクの特定に役立つプロセス「人的リスク定量化モデル」の人気が高まりつつある。人的リスク定量化モデルの詳細と、その取り入れ方を紹介する。

[Isabella Harford，TechTarget]

　第3回「“コンプラのためだけのセキュリティ研修”は価値なし　Gartner推奨の方法は？」は、セキュリティ意識向上研修の効果を改善するためにできることを紹介した。その一つに従業員に起因するセキュリティリスクを特定するためのプロセス「人的リスク定量化モデル」の導入がある。

「人的リスク定量化モデル」とは？　どのように取り入れればいいのか

併せて読みたいお薦め記事

連載「『セキュリティ意識向上研修』の効果を高める方法」

• 第1回「『情報漏えいを引き起こす内部関係者』の半数以上は“あんな人”」
• 第2回「毎年やっても意味がない？　『セキュリティ研修』を無駄にする“あの慣習”」
• 第3回「“コンプラのためだけのセキュリティ研修”は価値なし　Gartner推奨の方法は？」

「セキュリティ」関連の注目トピック

• “役立たずのWindows Defender”が「Microsoft Defenderウイルス対策」になって大人気の謎
• 無料で使える「Microsoft Defenderウイルス対策」のスキャン機能は使い物になるのか？
• Windowsの無料セキュリティ「Defender」シリーズ　主要ツールの違いは？

　「人的リスク定量化モデルの人気が高まりつつある」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は言う。人的リスク定量化モデルは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するために役立つプロセスだ。一部の企業は人的リスク定量化モデルの使用を始めており、リスクの高い行動を特定して、安全でない行動を取る従業員にフラグを立てているという。フラグが立った従業員に、企業は自動化された研修をすぐに実施するよう促す。ここで実施するのは年1回の幅広い研修とは異なり、時間が短く、個別化され、具体的な状況に応じたものだ。

　研修の自動化は今後さらに前進する可能性がある。セキュリティの自動対策ツールや自動分析ツールが、セキュリティリスクの予防や従業員の意識向上を進めると考えられる。

　「プロセスが理にかなっていて自動化が進んでいれば、研修は必要ない」と調査会社Nemertes Researchの最高経営責任者（CEO）兼創設者であるジョナ・ティル・ジョンソン氏は考える。「例えば銀行は、何億ドルも使って『利用者がATM（現金自動預け払い機）にカードを忘れないようにするためのフォロー方法を教える従業員研修』を実施することもできた。だがそうせずに、利用者がカードを取ってからでないと現金を取れないようにATMの設定を変えた」（ジョンソン氏）

　企業は、セキュリティに同様のアプローチを採用できる。例えば従業員にUSBメモリの使用を許可していない会社では、スクリプトを使って、自動的に未承認のデバイスがPCに接続することを拒否したり、接続を切断したりすることができる。

　セキュリティインシデントを抑止する“ガードレール”は無駄ではないが、企業を守れるかどうかは従業員の責任に左右される。だが従業員は一般的に、自分の役割や職務が、企業のセキュリティにどう影響するのかを理解していない。それが根本にある問題だ。

---

　第5回は、従業員のセキュリティ意識をさらに高めるための手法を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。