前回のブログでは、なぜ人は悪意あるリンクをクリックしてしまうのかを、行動科学の視点から取り上げました。ここまでの連載で、従来のセキュリティのやり方は限界があり、私たちが相手にしているのは「人」ということが分かってきました。一気にすべてを片付けようとすると収拾がつかなくなります。必要なのは、混沌に秩序を与える、シンプルで覚えやすい「頭の中の地図」です。
私はこの地図をDEEPと呼んでいます。
DEEPは、ヒューマンリスクマネジメント(HRM)を4つの柱で整理するフレームワークです。柱は互いにつながり合い、どれか1つに頼らないバランスの取れたプログラムづくりを支えます。
Defend:侵入前に止める守りです。AIを活用したメールセキュリティやリンクスキャナーなどの技術で、不審なコンテンツが従業員の前に表示される機会を減らします。攻撃が届く回数が少ないほど、ヒューマンエラーの機会も減ります。まず通しにくくすることが肝心です。
Educate:単なる「意識」から一歩進み、実践的なスキルを育てます。参加型のトレーニング、実践的なシミュレーション、記憶に残るコンテンツで、従業員が攻撃を見抜く力を身につけます。長時間の講義ではなく、関連性の高い、AIを活用したマイクロトレーニングで「やってしまった…」を「なるほど!」に変えていきます。
Empower:最も重要ですが、見落とされがちな柱です。安全な選択がいちばん簡単な選択になる文化をつくります。「何をすべきか」を知るだけでなく、「自分にもできる」と感じさせる環境を整えることが重要です。ここで初めて、セキュリティはルールから文化へ、「やらされる」から「自分たちで守る」へと転換します
Protect:何をしてもミスは起こります。この柱は被害の最小化することです。インシデントに対する計画やツールを整え、素早く封じ込めます。そして何より重要なのは、インシデントが発生したら、学びに変え、他の3つの柱をさらに強くすることです。
建物でいえば、Empowerは組織のセキュリティ文化の土台づくりです。しっかり支えるのは次の5本の柱です。
- チャンピオンを育てる:現場で影響力のある同僚を「セキュリティの伝道役」として立て、仲間同士の働きかけを広げます(チャンピオン制度)
- ストーリーを共有する:ポリシーの説明だけでなく、実際に見た攻撃などを匿名で共有し、リスクを自分ごとにします
- 強度より継続:年1回の大掛かりな施策よりも、短くても一貫した関わりの積み重ねで習慣をつくります
- 安全が最短ルートになる設計:ワンクリックで怪しいメールを報告できるボタンなど、最も安全な行動がいちばん簡単になるように業務フローやUIを設計します
- 従業員中心のセキュリティ:従業員を意思決定の中心に据え、余計な手間を減らして、正規フローの迂回やショートカットが起きにくい設計にします
枠組みは整いました。次は、現場の多様な「人」にどう落とし込むかです。
原典:Javvad Malik著 2025年10月1日発信 https://blog.knowbe4.com/going-deep-a-simple-framework-for-a-complex-problem