前回のブログでは、なぜ人は悪意あるリンクをクリックしてしまうのかを、行動科学の視点から取り上げました。ここまでの連載で、従来のセキュリティのやり方は限界があり、私たちが相手にしているのは「人」ということが分かってきました。一気にすべてを片付けようとすると収拾がつかなくなります。必要なのは、混沌に秩序を与える、シンプルで覚えやすい「頭の中の地図」です。
私はこの地図をDEEPと呼んでいます。
DEEPは、ヒューマンリスクマネジメント(HRM)を4つの柱で整理するフレームワークです。柱は互いにつながり合い、どれか1つに頼らないバランスの取れたプログラムづくりを支えます。
Defend:侵入前に止める守りです。AIを活用したメールセキュリティやリンクスキャナーなどの技術で、不審なコンテンツが従業員の前に表示される機会を減らします。攻撃が届く回数が少ないほど、ヒューマンエラーの機会も減ります。まず通しにくくすることが肝心です。
Educate:単なる「意識」から一歩進み、実践的なスキルを育てます。参加型のトレーニング、実践的なシミュレーション、記憶に残るコンテンツで、従業員が攻撃を見抜く力を身につけます。長時間の講義ではなく、関連性の高い、AIを活用したマイクロトレーニングで「やってしまった…」を「なるほど!」に変えていきます。
Empower:最も重要ですが、見落とされがちな柱です。安全な選択がいちばん簡単な選択になる文化をつくります。「何をすべきか」を知るだけでなく、「自分にもできる」と感じさせる環境を整えることが重要です。ここで初めて、セキュリティはルールから文化へ、「やらされる」から「自分たちで守る」へと転換します
Protect:何をしてもミスは起こります。この柱は被害の最小化することです。インシデントに対する計画やツールを整え、素早く封じ込めます。そして何より重要なのは、インシデントが発生したら、学びに変え、他の3つの柱をさらに強くすることです。
建物でいえば、Empowerは組織のセキュリティ文化の土台づくりです。しっかり支えるのは次の5本の柱です。
枠組みは整いました。次は、現場の多様な「人」にどう落とし込むかです。
原典:Javvad Malik著 2025年10月1日発信 https://blog.knowbe4.com/going-deep-a-simple-framework-for-a-complex-problem