ヒューマンリスクを減らすには、まず組織のどこに知識のギャップがあるのかを明確に把握する必要があります。多くの組織にとって、その出発点となるのがベースライン評価です。
KnowBe4のSecurity Awareness Proficiency Assessment(SAPA)は、長年にわたりセキュリティ評価の基盤を支えてきました。5万を超える組織で活用され、累計実施回数は500万回を超えています。セキュリティ担当者が従業員の意識レベルを一貫性のある形で把握し、効果的なセキュリティプログラム運用につなげるうえで、SAPAは重要な役割を果たしてきました。
ただ、セキュリティプログラムが成熟するにつれ、ベースラインの意識を測るだけでは十分ではないと感じる組織も増えています。
従来のアセスメントは、幅広い組織に共通して適用できるよう設計されています。そのため、全体的な知識レベルを把握するには有効です。一方で、実際のセキュリティ運用を左右する、各組織固有のポリシーや技術、業務フローまでは十分に反映できません。
アセスメントが組織のセキュリティ基盤や社内プロセスの実態と結びついていない場合、セキュリティ担当者は、自社の実態を十分に反映していないデータをもとに、影響の大きい判断を下さざるを得なくなります。その結果、トレーニングの投資対効果を証明できず、経営層に対してヒューマンリスクの重要性を正しく訴えることも困難になります。
こうした課題を解消し、評価の精度を高めるために誕生したのが、Custom SAPA Agentです。KnowBe4のAIディフェンスエージェント『AIDA』の新たなラインナップとして、組織ごとの実態をより深く反映した、確かなセキュリティ意識の測定を可能にします。
Custom SAPA Agentは、いきなり画一的なアセスメントを適用するのではなく、まず組織の環境を理解するところから始まります。Environment Surveyで得られた情報をもとに、組織のセキュリティ基盤、社内ポリシー、業務フロー、業界特性を分析します。そのうえで、組織の中で実際にどのようにセキュリティが機能しているかを反映した設問を選定します。
これにより、アセスメントは単なる習熟度チェックではなく、診断ツールへと進化します。ベースラインの意識を測るだけでなく、その組織のリスクプロファイルにとって重要な知識ギャップを明らかにできるようになります。
設問を実際のポリシー、ツール、プロセスに沿って設計することで、より実効性の高いデータを収集できるようになります。詳細な分析を通じて、従業員の理解度を具体的に可視化できるだけでなく、部署や役職ごとの傾向、さらには優先的に対処すべきリスク領域の特定も容易になります。
また、Custom SAPA Agentは、アセスメントの内容を管理者が完全に把握できる透明性を備えています。生成された設問が自社の実務に即した現実的なシナリオになっているかを事前に精査し、必要に応じて調整することが可能です。このコントロールによって、アセスメントの精度と実用性を両立できます。
さらに重要なのは、アセスメント結果がレポートで終わらないことです。Custom SAPA Agentが生み出したデータは、そのままトレーニングキャンペーンに反映されます。
KnowBe4は、5年以上に及ぶSAPAの運用実績と、数万もの組織から得られたフィードバックを通じて、セキュリティ担当者が直面する測定の課題や、より高い精度へのニーズを理解しています。その知見が、AIDAの最新エージェントであるCustom SAPA Agentの開発に活かされています。
実績あるSAPAの枠組みに適応型インテリジェンスを組み合わせることで、Custom SAPA Agentは、組織の環境を踏まえてセキュリティ意識を測定する新しいアプローチを実現します。セキュリティ意識をより正確に測定できれば、リスクもより効果的に減らすことができます。
原典:KnowBe4 Team著 2026年3月10日発信 https://blog.knowbe4.com/announcing-the-custom-sapa-agent-security-awareness-measurement-built-for-your-environment