従業員に起因するセキュリティリスクの特定に役立つプロセス「人的リスク定量化モデル」の人気が高まりつつある。人的リスク定量化モデルの詳細と、その取り入れ方を紹介する。
第3回「“コンプラのためだけのセキュリティ研修”は価値なし Gartner推奨の方法は?」は、セキュリティ意識向上研修の効果を改善するためにできることを紹介した。その一つに従業員に起因するセキュリティリスクを特定するためのプロセス「人的リスク定量化モデル」の導入がある。
「人的リスク定量化モデルの人気が高まりつつある」と、調査会社Forrester Researchのプリンシパルアナリストであるジナン・バッジ氏は言う。人的リスク定量化モデルは、セキュリティチームが従業員の知識と行動のギャップを特定し、企業のセキュリティに影響を及ぼす特定の行動を割り出し、その潜在的リスクを計算するために役立つプロセスだ。一部の企業は人的リスク定量化モデルの使用を始めており、リスクの高い行動を特定して、安全でない行動を取る従業員にフラグを立てているという。フラグが立った従業員に、企業は自動化された研修をすぐに実施するよう促す。ここで実施するのは年1回の幅広い研修とは異なり、時間が短く、個別化され、具体的な状況に応じたものだ。
研修の自動化は今後さらに前進する可能性がある。セキュリティの自動対策ツールや自動分析ツールが、セキュリティリスクの予防や従業員の意識向上を進めると考えられる。
「プロセスが理にかなっていて自動化が進んでいれば、研修は必要ない」と調査会社Nemertes Researchの最高経営責任者(CEO)兼創設者であるジョナ・ティル・ジョンソン氏は考える。「例えば銀行は、何億ドルも使って『利用者がATM(現金自動預け払い機)にカードを忘れないようにするためのフォロー方法を教える従業員研修』を実施することもできた。だがそうせずに、利用者がカードを取ってからでないと現金を取れないようにATMの設定を変えた」(ジョンソン氏)
企業は、セキュリティに同様のアプローチを採用できる。例えば従業員にUSBメモリの使用を許可していない会社では、スクリプトを使って、自動的に未承認のデバイスがPCに接続することを拒否したり、接続を切断したりすることができる。
セキュリティインシデントを抑止する“ガードレール”は無駄ではないが、企業を守れるかどうかは従業員の責任に左右される。だが従業員は一般的に、自分の役割や職務が、企業のセキュリティにどう影響するのかを理解していない。それが根本にある問題だ。
第5回は、従業員のセキュリティ意識をさらに高めるための手法を紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
GoogleやMicrosoftが警鐘 中国発ネット工作の危険性(無料eBook)
GoogleやMicrosoftの報告が示すのは、中国発のAIを活用したネット工作が世界的な問題とな...
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年1月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
Netflix、さらなる成長戦略は「アドテク自社開発」 広告主のメリットは?
Netflixは2024年第4四半期に1890万人の加入者を増加させ、広告収入を前年同期比で倍増さ...
ITmediaはアイティメディア株式会社の登録商標です。
