セキュリティ管理策は、それを使わなければならない人々を考慮せずに設計された場合、失敗します。これはLeron Zinatullinの第2版の中心的な主張であり、組織心理学、変更管理、ユーザビリティ研究から引き出された17章を通じて方法的に構築された主張です。
著者について
Leron ZinatullinはConstantinople(AI先進型銀行提供会社)のCISOです。彼はまた、スタートアップのスピーカーおよびアドバイザーでもあります。コスト効率と事業戦略を支援するために、大規模でグローバルな高価値のデジタルおよびセキュリティ変革プロジェクトを主導してきました。
本の内容
本はほぼ半分に分かれています。前半はリスク管理、コミュニケーション、意思決定心理学、ステークホルダーの影響力、変更管理をカバーしています。後半は、その基礎を政策設計、ユーザビリティ、文化、および行動変化に適用しています。第7章はFBI危機交渉ユニットの行動変化階段モデルで前半を閉じ、影響力には行動を変えようとする前に傾聴と信頼構築への投資が必要であることを示します。
第9章は本の最も有益なセクションの1つです。Zinatullinは5つのISO 27001マルウェア対策管理策を説明し、虚構の従業員ペルソナを構築して、ワークフローへの注意なしに実装された管理策がどのように異なるリスク範疇を作成するかを示しています。各シナリオは認識できるものです。
第10章はセキュリティリーダーとのインタビューに基づいており、管理者は彼らの管理策が行動に与える影響についてほぼ認識していることを明らかにしていますが、その認識は反応的であり、苦情量によって駆動されています。複数の管理者はセキュリティポリシーが従業員パフォーマンスに与える影響を測定する方法がないことを認めました。
第11章は非準拠の3つの理由を特定する研究をまとめています:従業員は準拠する明確な理由が欠けている、準拠のコストが高すぎる、または提供されるツールを考えると準拠は構造的に不可能です。
第16章は最も応用的な用語で行動変化をカバーしています。COM-Bモデル(能力、機会、動機)は、特定の準拠ギャップにどのタイプの介入が適合するかを識別するための診断ツールとして機能します。Fogg行動モデルは、プロンプトを3番目の必須要素として追加します。その後、章はナッジ理論をカバーし、補体として向上を導入しています:ナッジは迅速な結果のために選択アーキテクチャを変更します。向上は、より耐久的な行動変化のために意思決定スキルを改善します。Zinatullinはその平行を直接適用しています:1つのセキュリティ習慣を変えることは、組織全体でより生産的な行動をより広く伝播させることができます。
本は幅広いフレームワークを簡潔にカバーしています:PESTLE、SWOT、Kotterの8つのステップ、Cialdiniの6つの説得原則、デザイン思考、リーンスタートアップのビルド・メジャー・ラーンサイクル、5つのなぜ、システム思考。各々はセキュリティ応用を得ます。
結論
情報セキュリティ心理学の対象者は、組織の境界を超えて働くセキュリティ専門家です。セキュリティの行動科学の出発点を探している、または人中心のポリシー設計のための内部的な事例を作る必要がある人々は、それが有用であることを見つけるでしょう。技術的な管理策ガイダンスを探している人々は、他の場所を探す必要があります。
翻訳元: https://www.helpnetsecurity.com/2026/04/14/review-the-psychology-of-information-security/
