人的リスクを強みに変える：持続する行動変容へのガイド

あなたは、すでに多くのサイバーセキュリティ製品、多層型防御、セキュリティチームの人材育成に多大な額を投資しているかもれません。それでも、不注意な従業員がフィッシングメールをたった1回クリックしただけで、重大なインシデントにつながるおそれがあります。多くの組織が、この問題を抱えています。

セキュリティ対策を導入し、トレーニング セッションを提供し、意識向上ポスターを貼っていても、セキュリティ インシデントはなくなることはありません。それはなぜでしょうか？本当のセキュリティとは、ただ従業員が知識として知っているだけでは不十分です。組織を守る自身の責任について従業員がどう感じているかが左右します。また、従業員が脅威に直面した際にどのように対応するかが重要なのです。サイバーセキュリティにおいては、たた単に知識を持っているだけでは不十分で、行動変容が伴わなければ意味がありません。

今日の脅威状況は、人の脆弱性を悪用しようと絶えず戦術に磨きをかけているサイバー犯罪者により、かつてないほど複雑になっています。しかし良いニュースもあります。従業員は、防御の最前線となることができます。従業員が防御者として十分にサポートされ、その役割を積極的に担っていれば、こうした従業員は潜在的なセキュリティリスクからプロアクティブな防御壁へと変わることができます。では、どのようにこうした防御壁へと導けばよいのでしょうか？セキュリティ文化構築のための体系的な「人」ファーストのアプローチが求められます。

そこで、Proofpoint DICEフレームワークが役立ちます。DICEは、検知（Detect）、介入（Intervene）、行動変容（Change behavior）、評価（Evaluate）を意味します。このブログ記事では、これらの要素のそれぞれについて詳しく見ていきます。また、このフレームワークの背景にある心理学的要素についても触れます。また、このフレームワークが、組織がレジリエンスの高いセキュリティリスク文化を構築する上でどのようにサポートするかについて説明します。熟練のセキュリティ責任者にとっても、ポジティブなセキュリティ文化の構築を開始した組織にとっても、このガイドは、長期的な行動変容を実現するために実用的な知見を提供します。では、見ていきましょう。

 

DICEとは？

さまざまな業界の組織をサポートしてきた経験から、プルーフポイントでは、効果的な行動変容は、脅威のリスクに最もさらされている従業員、または危険な行動に関わりそうな従業員を検知し、適時に介入することから始まると考えています。各個人の脆弱性に合わせて教育エクスペリエンスを調整することもこうした取り組みの一つです。そして、プログラムの影響を継続的に評価し、改善していく必要もあります。

これらの取り組みによって、DICEの効果が発揮され、画一的なアプローチに頼った従来のセキュリティ トレーニングの枠を超えることができます。DICEは、持続する習慣を身につけるコンテキストの関連性が高いガイダンスを従業員に提供します。

Proofpoint DICEフレームワークには4つのステップがあります。

Proofpoint DICEフレームワークのステップ

 

ステップ1：人的リスクの検知 — 効果的な行動変容の中核

最初のステップは、脅威コンテキストと選んだ行動に基づいて人的リスクを検知することです。ここでさらに重要なのは、組織、部門、個人のリスクを特定し、理解することです。

 

検知が重要な理由

効果的なセキュリティ行動変容への取り組みは、人的リスクの詳細な理解から始まります。組織において、サイバー脅威に対して最も脆弱なのは誰か？リスクのある行動を継続的に取っているのはどの従業員か？そしてその理由は？従来のセキュリティ意識向上プログラムでは多くの場合、このような尺度の精度が欠けています。すべての人が同じリスクに直面し、同じトレーニングを必要としているかのようにとらえています。

この段階において、組織は、いくつかの重要なリスク要因を定量化し、分析する必要があります。こうすることで、各従業員のリスクポスチャの包括的なビューを構築できます。こうした過程は重要であり、もし的を絞った知見が使用されていなければ、プログラムの焦点が定まらず、効果も望めません。画一的なコンテンツでは、特殊な問題に直面している高リスクユーザーにとって効果的であるとは言えません。

リスクを検知するための効果的な戦略を構築する方法は以下のとおりです。

1. 行動の分析
   実際の行動を分析すると、他の人に比べ、セキュリティ脅威の影響を受けやすい人が見えてくるでしょう。リスクが高い人であるかどうかを見分ける方法は、行動に着目することです。不審なリンクをクリックする、不明な送信者に対応する、または許可されていない受信者と機密データを共有していれば、その人は、こうした行動を取っていない人よりもリスクが高いことになります。セキュリティチームは、こうした知見を用いて、個人のリスクのあるパターンに直接対処する、的を絞った教育を作成することができます。これにより、この先、より安全な選択を行うためのスキルを身につけることができます。
2. 知識ギャップを評価する
   的を絞った定期的なアセスメントは、重要な知見を提供します。 従業員がセキュリティ原則をどの程度理解しているかを明らかにするだけでなく、知識が欠けている場所を特定することもできます。 例えば、クイズまたは簡単なアンケートにより、ソーシャル エンジニアリング戦術の回避方法や、データ処理のベストプラクティスなど、理解における特定のギャップを明らかにできます。 セキュリティチームが、重要な分野についてサポートが必要な従業員を把握できれば、そうした従業員にそのテーマに沿った基本的な意識向上トレーニングを提供することができます。
3. 実際の脅威に対する脆弱性を評価する
   アセスメント プロセスでは、QRコード詐欺、認証情報フィッシング、SMSフィッシングなどの脅威シミュレーションを使用できます。これにより、実際の攻撃に対する従業員の脆弱性を明らかにすることができます。従業員の対応を観察することで、セキュリティチームは、各従業員の弱点をより正確に把握することができます。実用的なアセスメントにより、チームは介入の優先順位付けを行うことができます。こうすれば、特定の脅威を特定するためにより訓練が必要な従業員に焦点を当てることができます。
4. セキュリティに対する考えと姿勢を評価する
   セキュリティ意識向上プログラムは、ただ知識とスキルに関連したものではありません。考え方に関連したものです。文化アセスメントや文化調査を行うことで、セキュリティチームは、サイバーセキュリティに対する従業員の姿勢や、従業員がサイバーセキュリティを共通の責任としてとらえているかに関する知見が得られます。例えば、従業員が組織のセキュリティにおける役割をどのようにとらえているかに関する質問から、脆弱性を高めうる重要な文化的要因を明らかにすることができます。セキュリティ意識の高い姿勢を育成するために、こうした考え方に対処することが重要です。

 

コンテキストが重要な理由

リスクを効果的に検知するにはコンテキストが必要です。コンテキストを用いて行動変容アプローチを調整し、その効果を引き出すことができます。また、各従業員が直面する固有の問題に対し、介入することも効果的です。

例えば、高い利益に関する決定を行う経営幹部は、機密データへのアクセスが限られた若手の従業員とは異なるリスクにみまわれる可能性があります。これは、各従業員の役割に応じた検知プロセスを導入すべき理由の一つです。データへのアクセスレベルや、外部脅威リスクも考慮する必要があります。

 

ステップ2：介入 — 知見を行動に変える

ステップ2は、ユーザーに、リスクについて知らせ、そのリスクを評価するために関連するコンテンツをユーザーに提供することです。

 

検知から介入へ

高リスクの従業員を特定したら、次のステップは、安全な行動へと導くことです。この段階では、パーソナライズされた、コンテキストに基づいたガイダンスを従業員に提供します。提供するタイミングは、従業員がリスクのある行動を取った、または脅威に直面した場合です。または、少なくとも、従業員が取ったリスクのある行動に直接関連した、教育プログラムに自動的に登録させる必要があります。

 

効果的に介入するための戦略

より的を絞った行動変容アプローチを作成するために、従業員を追跡し、役割、行動、リスクプロファイルに基づいて適応させたグループ分けを行うことが重要です。

その仕組みをご説明します。

• 適時に、コンテキストに基づいたアラートやガイダンスを提供する
  新しい脅威に関するアラートをリアルタイムで提供することで、従業員は、潜在的なリスクに直面した際に情報に基づいた決定を行うことができます。メール警告タグは、メールが不審である理由について情報を提供する適時の介入として好例です。これらの気づきを与えるアラートにより、従業員にメールに返信しないようガイドしたり、従業員がこの送信者とやり取りをしたことがないと知っていればメッセージを不正なものと報告できるようガイドしたりできます。こうしたプロアクティブなアラートにより、従業員は、インシデントを未然に防ぎながら、リスク発生時に必要なサポートを受けることができます。
• 従業員をカスタマイズされたパスに自動的に登録させる
  セキュリティチームは、個人の行動、脅威コンテキスト、リスクプロファイルに基づいた学習パスを開発することで、的を絞った方法で介入できます。例えば、特定の脅威によって標的にされた高リスク従業員に、こうした脅威を認識する方法を指導するカリキュラムを割り当てることができます。また、許可されていない人と機密データを誤って共有した従業員には、データセキュリティ ベストプラクティスの復習を提供できます。こうしたアプローチにより、従業員は、それぞれ特有のニーズに応じて適切な範囲内のガイダンスを受けることができます。従業員の習慣が変わる可能性も高まります。

 

ステップ3：行動変容 — 継続的な実際のトレーニングを使用する

このステップでは、ユーザーの行動をより安全なものへと変化させるよう促進します。適切な選択を行う能力を強化します。

 

行動変容の科学

行動変容は一夜にして実現できるものではありません。行動科学の主要原理に基づいた、計画的な一貫した実践により達成できるものです。この段階では、実証済みの学習手法を組み合わせ、セキュリティ プラクティスを従業員の日常的な行動に組み込みます。こうすることで、従業員は、持続する習慣を身につけることができます。

 

継続的な教育の主要要素

• 分散練習
  分散練習は、時間で区切った学習を行う学習法です。情報を一度に詰め込むようなものではなく、短いセッションを数多く行います。分散練習は、マイクロ学習やナノコースにおいてその効果を発揮できます。従業員は定期的にセキュリティ コンセプトを見直す機会が得られるため、情報を無理なく吸収し、長期間に渡って覚えておくことができます。このアプローチは、行動変容の強力な基盤を築くため、安全な行動をより自然に身につけることができます。
• テスト効果
  テスト効果は、学習したことを、クイズ、テスト、またはその他のアセスメントを使用して思い出させる学習原理です。これにより、長期記憶を向上させることができます。セキュリティ教育においては、フィッシング シミュレーションや定期的なアセスメントにおいてこのテスト効果を取り入れることができます。従業員がリアルなフィッシング練習やナレッジ クイズに積極的に取り組めば、セキュリティ ベストプラクティスを思い出すことができます。このような反復的なエクスペリエンスにより、能力を強化することができます。結果として、実際の攻撃に直面した際に安全な行動を直感的に取ることができるようになります。
• 実践効果
  実践効果（Doer Effect）は、何かを覚える際に実生活に適用することでより覚えやすくなるといった方法を指します。情報を吸収するのではなく実践して学習していくものです。セキュリティ教育において、この原理は、インタラクティブなトレーニング モジュールやゲーム型学習体験に当てはまります。シミュレーション、ロールプレイ シナリオ、大会など、実践的な活動に参加すれば、実用的な体験が得られます。得点制、アチーブメント、トーナメントなど、ゲーム性のある要素も意欲を高める上で効果的です。これにより、楽しみながら覚えることができます。

 

アクティブラーニングにより変化を持続させる

これらの原理により、教育するためだけでなく、持続する行動変容を実現する目的でもトレーニングを設計することができます。これらの原理を組み合わせることで、安全な行動が新たな習慣となるアクティブラーニングの文化を築くことができます。参加しやすい実用的なトレーニング エクスペリエンスを頻繁に提供することで、従業員は、脅威に安全に対応するために必要な自信と考え方を得ることができます。

 

ステップ4：効果の評価 — 必要な指標を評価する

このステップでは、プログラムの効果を評価します。そして、その結果に応じて、戦略を洗練化させます。

 

評価が重要な理由

行動変容プログラムの影響を理解する上で有意義なデータは重要です。この段階では、行動変容の取り組みを評価するメトリクスを提供する必要があります。また、利害関係者に、プログラムの真の価値を実証する必要があります。

 

効果を測定する重要メトリクス

• 実際の行動分析
  実際のポジティブな行動もネガティブな行動も、人的リスクのプログラムの影響について重要な知見を提供します。こうした行動を追跡すれば、セキュリティ意識向上の取り組みの実際の影響を理解することができます。こうしたアプローチにより、人的リスク管理のデータを活用した、プロアクティブな戦略を策定することができます。
  • ポジティブな行動 — 従業員が一貫して不審なメールを報告する、リスクのある行動を回避するなどといった行動が見られれば、従業員のリスクレベルは低下していることになります。また、安全な行動を身につけ、個人のリスクプロファイルが低下したことになります。これにより、組織全体のリスクも低下します。
  • ネガティブな行動 — コース修了後もセキュリティ ガイドラインに従っていないなどの行動が見られれば、リスクレベルが高まっていることになります。セキュリティチームはこうしたパターンを分析し、特定の脆弱性に対処するために教育を調整することができます。絶えずリスクのある行動を取っている従業員は優先的に扱う必要があります。また、こうした従業員がポジティブな行動を取れば、そうした行動を取り上げる必要があります。
• 不審なメール報告
  ユーザーの報告率と報告精度を測定することが重要です。これらのメトリクスにより、プログラムがユーザーの行動変容にどの程度効果があるかを評価することができます。行動変容の全体像を把握できます。また、組織の人の防御レイヤーがトレーニングによって強化されていることを確認できます。
  • 報告率は、従業員がどの程度の割合でフィッシングが疑われるメッセージや不審なアクティビティを報告するかを測定します。これは、組織を防御する点において、従業員がどの程度注意深く、プロアクティブであるかを示します。
  • 報告精度は、従業員が誤検知に対し実際の脅威をどの程度正確に特定できるかを測定します。本物のリスクを見分けるスキルが成長しているかを示します。
• ベンチマークと業界比較
  組織のセキュリティ文化を業界標準と比較できれば、より広範なコンテキストの下で効果的な評価を行うことができます。これは、ベンチマークと呼ばれるものです。また、プログラムの効果について重要な観点を提供します。これにより、同業他社に対して、自社がどの位置にいるかを理解することができます。

 

まとめ：レジリエンスの高いセキュリティ文化の構築

セキュリティ行動の変容は、複雑で継続的なプロセスです。セキュリティ プラクティスを意識するだけでは十分ではなく、実践する必要があります。そのためには、関連性の高いセキュリティ教育を提供し、継続的に測定する必要があります。

DICEフレームワークを導入すれば、組織は、教育を変革することができます。セキュリティ意識向上を持続する行動変容へと変える、構造化された効果的な方法を提供することで、変革を実現できます。

このフレームワークに従うことで、ただ意識するのではなく、レジリエンスの高いセキュリティ文化を築くことができます。従業員は、脅威防御における積極的なパートナーとなります。これにより、組織のリスクを積極的に低減し、セキュリティポスチャを強化することができます。

 

プルーフポイントにできること

プルーフポイントは、組織がプロアクティブな行動ベースのセキュリティ プログラムを構築できるようサポートします。DICEフレームワークや、Proofpoint ZenGuide、Proofpoint People Risk Explorer、Adaptive Groups、Adaptive Learning Frameworkなどのツールを通じて、プルーフポイントは、チームを持続するセキュリティ行動変容へと導くために必要なすべてを提供します。

意識向上から行動への変化にご関心がございましたら、お問い合わせください。プルーフポイントが、人的リスクを低減し、レジリエンスの文化を構築できるようお手伝いいたします。