TokyoBlackHatNews

csoonline.com 5分で読了

ヒューマンリスク管理:セキュリティ研修のパラドックス

投資が増え続けているにもかかわらず、アウェアネス研修は依然としてわずかな効果しかもたらしていません。知識ではなく行動に焦点を当てることで、より効果的になります。

Image
セキュリティアウェアネス研修は、ヒューマンリスク管理(HRM)のアプローチに基づくべきです。

FAMILY STOCK – shutterstock.com

企業はファイアウォール、エンドポイントセキュリティ、暗号化に何百万ドルも投資しています。しかし、たった一人の人間が大惨事を引き起こす可能性があります。感染したファイルをダウンロードしたり、詐欺リンクをクリックしたりするだけで十分なのです。

分析によれば、全セキュリティ侵害の70〜90%は、人がミスをすることで発生しています。人々はソーシャルエンジニアリング に引っかかったり、ITの許可なくリスクの高いサービスを利用したりします。さらに、攻撃者が人工知能やディープフェイクをますます活用するようになり、状況は一段と深刻化しています。

問題はよく知られています。そのため組織は2025年に、セキュリティアウェアネス研修(SAT)に約60億ドルを支出しました。自発的に実施する企業もありますが、多くはGDPR(一般データ保護規則)や医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)といった規制に従っています。後者は、例えば医療分野の全従業員に対し、こうしたプログラムを法的に義務付けています。専門家は、これらの対策への支出が毎年15%増加すると見込んでいます。

従来型トレーニングが失敗する理由

これらの研修は標準となっているにもかかわらず、その有用性は疑わしいままです。多くの企業は規則を守るために、ただチェックを付けて終わりにしています。本来の付加価値は無視されがちです。一方で従業員もそれに合わせて行動します。仕事に戻るため、できるだけ早くチュートリアルをクリックして終わらせます。注意して受講した人でさえ、日常業務で積極的に使わなければ、学んだ内容をすぐに忘れてしまうことがよくあります。

時には、コースが逆効果になることさえあります。研究によれば、テストで特に良い成績を収めた人ほど、しばしば油断しがちです。こうした人々は誤った安心感に陥ります。

私の考えでは、私たちはパラドックスの中にいます。高額な投資と厳格なルールにもかかわらず、効果は最小限にとどまっています。仕組みが壊れているのです。だからこそ、抜本的な方針転換が必要です。散発的な講座から脱却し、ヒューマンリスク管理へ移行しなければなりません。

ヒューマンリスク管理とは何か?

このアプローチは明確な戦略を取ります。人間の行動をリスクとして特定し、それを狙い撃ちで低減しようとします。従来の研修が理論的な知識を教えるだけなのに対し、ヒューマンリスク管理は、人が実際にどう行動するかに焦点を当てます。

この仕組みは、メールプログラムやID管理システムと直接連携します。これにより、人間の弱点を即座に検知できます。データを用いてリスクの高いユーザーを特定し、その後、短い学習ユニットや自動化されたコントロールなどで的確に介入します。最後に、その行動が本当に改善したかどうかを監視します。

両方に別々に費用を払う必要があると考える人もいますが、それは誤りです。実際、Fable Security、KnowBe4、Mimecastといったベンダーの主要なHRMソリューションには、標準的なSAT教材が豊富に組み込まれています。規制コンプライアンス要件に向けた特定の研修支援まで提供しています。

おすすめ記事: 人間中心のサイバーセキュリティの重要性が高まっている

人工知能による民主化

新たなマーケティングの誇大宣伝のように聞こえるでしょうか。たぶんそうかもしれません。しかしこの方法は、人工知能をパートナーとして活用します。多くのトレンドとは異なり、この点については専門家の見解が一致しています。AIは教育を根本的に変えるでしょう。

AIは個人チューターのように振る舞います。正しい方向へ小さく促します。誰かが危険なリンクをクリックすると、すぐに適切な学習ユニットが提供されます。こうして、誤りが起きたその瞬間に正しい行動が定着します。

さらにこのシステムは、個々の人が最も理解しやすい方法を学習します。ある人は文章を読むほうが好み、別の人は動画を見るほうが好みです。ツールはロールプレイを実施したり、同僚間の競争心を刺激したりすることさえできます。これにより、専門知識がまったく新しい形で民主化されます。

企業にとっては、財務面でも見合う投資になります。担当者は、何人が動画を視聴したかだけを報告するのではありません。代わりに、社内のデジタル衛生がどのように改善したかを示します。繰り返しミスをする人には個別の支援が提供されます。こうして、トレーニングが実際のセキュリティインシデントの件数を減らすことを直接証明できます。

アリストテレスはかつてこう言いました。「私たちは繰り返し行うことそのものである。ゆえに卓越性は行為ではなく習慣である。」ヒューマンリスク管理が狙うのは、まさにここです。習慣を変えるのです。もしアリストテレスが現代のセキュリティ責任者だったなら、この論理的な一歩をきっと支持したでしょう。(jm)

翻訳元: https://www.csoonline.com/article/4125591/human-risk-management-das-paradoxon-der-sicherheitsschulungen.html

ソース: csoonline.com
#Compliance (DSGVO/HIPAA) #Cybersicherheit #Deepfakes #human risk management #Künstliche Intelligenz #Menschlicher Faktor #Phishing #security awareness training #Social Engineering #Verhaltensänderung & digitale Hygiene

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く