人間中心のサイバーセキュリティが重要性を増す

UnImages – shutterstock.com

企業におけるCISOの役割は大きく変化し、技術中心のサイバーセキュリティ専門家から、人と機械の両方を管理するマネージャーへと進化しています。特にこれらのスキルは、最大のサイバーセキュリティリスクを低減するために不可欠です。サイバー犯罪者は繰り返しソーシャルエンジニアリングなど人間の行動を利用して、企業に効果的に侵入しています。

これまでの一般的な対応は、セキュリティ意識の向上でしたが、このアプローチは長年にわたり目立ったリスク低減にはつながっていません。従業員が知識を得るだけでなく、安全な行動を実践できるようにするためには、CISOは効果的なトレーニングや演習を計画する必要があります。企業内でセキュリティ文化や相互支援を促進すべきです。

テクノロジーやポリシーは良いセキュリティ行動を支援するものですが、それ以上に人間中心の視点を考慮することが重要です。サイバーセキュリティリスクは、対策が人間の行動を正しい方向に導く場合にのみ低減されます。これを実現するには、インシデントの報告や外部からの影響から守る行動など、前向きな行動を促すことが必要です。

関連記事：GenAIによるインサイダー脅威

サイバーセキュリティは価値観に基づくべき

人間中心の考え方の根底にあり導く価値観は、自律性、平等、信頼、公平性です。従業員は上司からオープンなフィードバック、動機付け、評価、信頼を期待しています。CISOは人々を力づけ、模範を示すよう努めるべきです。これは直接従業員に伝わります。

この際、セキュリティマネージャーは新たに何かを発明する必要はなく、サイバーセキュリティ戦略を企業の価値観に結び付けるべきです。これにより、サイバーセキュリティは企業文化や人事部門と連携し、従業員を強化・支援します。セキュリティはもはやオプションや情報セキュリティチームだけの課題ではありません。

実践的なシナリオで学ぶ

従業員はビデオディープフェイクによって偽のオンライン会議に参加するよう誘導される可能性があります。CISOはディープフェイクのシナリオを作成し、トレーニングツールとして活用することで、従業員がこのような脅威を認識し防御できるようにすべきです。同様の方法で、他の攻撃ベクトルやメディアについても実践的な学習体験を作成できます。

包括的なアプローチは「単なる」メールやフィッシングだけにとどまりません。従業員はこのレッスンの時事性を評価するでしょう。なぜなら、彼らはすでにソーシャルメディアやプライベートなネットワークでのディープフェイクについて懸念しているからです。サイバーセキュリティリスクを学習体験に変えるあらゆる機会は、従業員のレジリエンスを高めるチャンスです。新たな脅威を認識し、困難な状況でも安全な行動ができる従業員は、生産性を維持し、CISOの負担を軽減します。

関連記事：セキュリティ意識トレーニングの正しい管理方法

摩擦と流れのバランス

適切に調整されたサイバーセキュリティには、学習体験を強化するために摩擦点や気を散らす要素を意図的に活用することが不可欠です。CISOが人的リスク管理プログラムを開始すると、セキュリティはしばしば二次的なものと見なされ、IT部門の仕事とされがちです。この課題を全従業員の最優先事項である集団的責任に変えることが求められます。サイバーセキュリティは自己目的化してはならず、リスクマネジメントの目的はリスクを最小化することではなく、許容可能なリスクレベルを管理しつつ価値創出を最大化することです。

CISOは、サイバーセキュリティのトレーニング、ツール、手順がユーザーの負担を最小限に抑えつつ、最大限の効果をもたらすようにしなければなりません。ガートナーなどの市場アナリストはこれを「最小限の摩擦」、または「優れたユーザー体験」と呼んでいます。しばしば啓発プログラムは、繰り返しで予測可能かつ退屈な内容だったり、実用的なツールや実行可能なガイドラインを提供していなかったりします。これらすべてが不要な摩擦を引き起こします。

CISOがヒューマンリスクマネジメントを構築する方法

成熟したヒューマンリスクマネジメント（HRM）プログラムには、以下の基礎が含まれます：

• 行動リスクの評価：セキュリティチームは、どの従業員がフィッシングメールをクリックしたり、リスクの高いパスワードを使用したり、ポリシー違反やセキュリティ警告を引き起こしているかを理解するためのデータが必要です。これらのデータは個人または部門ごとのリスク評価にまとめられ、時間の経過とともに監視され、傾向として可視化されます。

• リスクのセグメント化と優先順位付け：リスクが特定されたら、企業はユーザーを役割、アクセスレベル、行動に基づいてセグメント化する必要があります。すべての従業員が同じリスクを持つわけではありません。セグメント化により、セキュリティチームは最も効果が期待できる部分にリソースを集中できます。

• リスク低減のためのターゲット施策：効果的なHRMには一律のトレーニング以上のものが必要です。代わりに、個別化された施策で行動を変えていきます。実際の業務の文脈で、適切なタイミングで適切なメッセージを提供することで、HRMは従業員が良いセキュリティ習慣を身につけるのを助けます。

• 継続的なモニタリングとフィードバック：現代的なHRMプログラムは、継続的な監視とフィードバックループを活用して適応します。行動リスク評価は定期的に再計算され、ダッシュボードで改善や後退を可視化します。CISOはまた、フィッシングシミュレーションのクリック率低下、ポリシー違反やDLP警告の減少、疑わしいメールの報告増加などのKPIを設定すべきです。これらすべての指標は、ビジネスに即した具体的な価値を示します。

まとめ

CISOがより良いサイバーセキュリティ対策を講じることで、複数の側面で変革が進み、セキュリティ成果に影響を与えます。ここで、良いセキュリティ行動の土壌となるセキュリティ文化が重要な役割を果たします。摩擦は意図的に活用し、特定のセキュリティ文化要素を変える印象的な学習体験を生み出すべきです。

ただしCISOは、人間中心のセキュリティ意識プログラムの行動に影響を与える要素が変わらないまま、繰り返し摩擦を生じさせてはなりません。（jm）