2022年07月11日 05時00分 公開
特集/連載

“危ない社員”をあぶり出す「人的リスク定量化モデル」とは? 導入するには「セキュリティ意識向上研修」の効果を高める方法【第4回】

従業員に起因するセキュリティリスクの特定に役立つプロセス「人的リスク定量化モデル」の人気が高まりつつある。人的リスク定量化モデルの詳細と、その取り入れ方を紹介する。

[Isabella Harford,TechTarget]

関連キーワード

セキュリティ


 第3回「“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?」は、セキュリティ意識向上研修の効果を改善するためにできることを紹介した。その一つに従業員に起因するセキュリティリスクを特定するためのプロセス「人的リスク定量化モデル」の導入がある。

「人的リスク定量化モデル」とは? どのように取り入れればいいのか

 「人的リスク定量化モデルの人気が高まりつつある」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は言う。人的リスク定量化モデルは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するために役立つプロセスだ。一部の企業は人的リスク定量化モデルの使用を始めており、リスクの高い行動を特定して、安全でない行動を取る従業員にフラグを立てているという。フラグが立った従業員に、企業は自動化された研修をすぐに実施するよう促す。ここで実施するのは年1回の幅広い研修とは異なり、時間が短く、個別化され、具体的な状況に応じたものだ。

 研修の自動化は今後さらに前進する可能性がある。セキュリティの自動対策ツールや自動分析ツールが、セキュリティリスクの予防や従業員の意識向上を進めると考えられる。

 「プロセスが理にかなっていて自動化が進んでいれば、研修は必要ない」と調査会社Nemertes Researchの最高経営責任者(CEO)兼創設者であるジョナ・ティル・ジョンソン氏は考える。「例えば銀行は、何億ドルも使って『利用者がATM(現金自動預け払い機)にカードを忘れないようにするためのフォロー方法を教える従業員研修』を実施することもできた。だがそうせずに、利用者がカードを取ってからでないと現金を取れないようにATMの設定を変えた」(ジョンソン氏)

 企業は、セキュリティに同様のアプローチを採用できる。例えば従業員にUSBメモリの使用を許可していない会社では、スクリプトを使って、自動的に未承認のデバイスがPCに接続することを拒否したり、接続を切断したりすることができる。

 セキュリティインシデントを抑止する“ガードレール”は無駄ではないが、企業を守れるかどうかは従業員の責任に左右される。だが従業員は一般的に、自分の役割や職務が、企業のセキュリティにどう影響するのかを理解していない。それが根本にある問題だ。


 第5回は、従業員のセキュリティ意識をさらに高めるための手法を紹介する。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

ITmedia マーケティング新着記事

news122.jpg

「ペプシチャレンジ」で煽られて焦ったコカ・コーラの“痛恨のやらかし”とは?
長年の間「コーラ戦争」を続けてきたCoca-ColaとPepsi。マーケティング施策でも切磋琢磨...

news149.jpg

デジタル化する顧客体験に関する消費者と企業の認識ギャップ――ナイスジャパン調査
問い合わせの初動としてインターネットやFAQ検索をする人が約8割。デジタルチャネルによ...

news042.jpg

気象データは近未来のデータ 予測に基づき「役に立つ」広告を届ける
気象データを活用することでどのような広告コミュニケーションが可能になるのか。海外の...