現代のサイバーセキュリティの現場において、企業が見過ごしがちな、とても重大な脅威があります。それは、ヒューマンリスクです。
防御に使われる技術が大きく進化しているにもかかわらず、ヒューマンエラーは依然としてデータ漏洩やセキュリティインシデントの主な原因となっています。
複数の業界調査や研究レポートによると、データ漏洩の70%〜90%がソーシャルエンジニアリング、誤操作、不正使用など、何らかの人的要因に関連していることが示されています。最新の調査では、CISOの74%がヒューマンエラーを最大のサイバーセキュリティリスクと見なしていることが明らかになりました。
従来のセキュリティ意識向上トレーニング(Security Awareness Training:以下、SAT)は、教育、セキュリティ意識の向上、テスト、ベストプラクティスなどに重点を置いたアプローチとして長年にわたり確立されてきました。一方、ヒューマンリスクマネジメント(Human Risk Management:以下、HRM)は、サイバーセキュリティにおける、人によるリスクを特定・定量化・軽減するという目的を持つ、包括的なアプローチです。HRMという言葉自体は比較的新しいものですが、その概念は、長年収集したヒューマンリスクへの対応方法を進化させ、反映したものです。
SATとHRMを同義として使う人もまだ一部に見られますが、これらは本質的に異なる取り組みす。この違いを正しく理解することは、今後より安全な組織を構築するうえで不可欠です。
セキュリティ意識向上トレーニング(SAT)とは?
SATは、従業員に対して、サイバー脅威、組織のポリシー、ベストプラクティスについて教育するための確立されたアプローチです。フィッシング、マルウェア、ソーシャルエンジニアリングなどのリスクに対する意識を高めることを目的とし、動画、クイズ、フィッシングメールのシミュレーションなどを通じて、従業員の理解を確認します。
HRMへの移行が進んでいるとはいえ、SATは組織におけるセキュリティ意識の基盤を築く上で、引き続き重要な役割を果たします。SATは従業員が直面しうる脅威と、それに対して取るべき行動を学ぶ重要な機会です。ただし、SATだけでは従業員の学びが、実際の行動に現れない場合もあります。多くの組織は、全従業員に同じコンテンツを提供する、一律型のモデルでSATを運用しており、個々のリスクレベルや職務内容、いままでの行動などが考慮されていません。
その結果、多くの従業員は「理解はしているが、行動が伴わない」という状況に陥ることがあります。理解と行動のギャップこそが、SATの限界を示すものであり、HRMとの大きな違いを表しています。
ヒューマンリスクマネジメント(HRM)とは?
HRMは、人によるサイバーセキュリティリスクを管理する次世代のアプローチです。単に従業員を教育するのではなく、そうしたリスクを可視化・定量化し、データに基づいて軽減することを目的としています。
この概念は、長年の学習を経て進化してきました。KnowBe4は、従業員を組織の脆弱性として扱うのではなく、防御の重要な層として捉える必要があることに早くから着目してきました。この考え方こそが、従来のSATとは一線を画すものです。SATは、ユーザーに責任を負わせる印象を与えてしまうことがありましたが、HRMはそれとは対照的に、より前向きなアプローチをとります。
HRMとSATの違い:
1. 学びから、リスクの削減へ
SATの目的は知識を広めることにあります。HRMはリスクの削減を目的としています。HRMは、継続的なエンゲージメント、パーソナライズされたトレーニング、実用的なアドバイスを通じて、行動変容を促します。単にフィッシングを知るのではなく、行動を変えることでリスクを可視化・測定・軽減することを目指します。
2. 一律から、パーソナライズへ
多くのSATプラットフォームは、全ユーザーに同一のコンテンツを提供します。対してHRMは、AIや機械学習を活用し、ユーザーの行動や役割、最新の脅威の状況などに応じて、学習体験をパーソナライズします。これにより、セキュリティ教育が一度きりではなく、継続的な取り組みへと進化します。
3. 形式的な研修から、状況に応じた柔軟なセキュリティ対応へ
HRMプラットフォームは、フィッシングシミュレーション、エンドポイント保護、インシデント対応ツールなどと連携し、リアルタイムデータを活用します。これにより、個人単位でリスクを定量化し、優先事項が明らかになります。年に一度の「受けるために受けるだけ」のトレーニングではなく、行動を分析、トレーニングを最適化、隙を減らす、を繰り返す、フィードバックループを構築します。
4. コンプライアンス重視から、行動重視へ
SATは、多くの場合コンプライアンスや規則を守るために導入されます。規則を従うことも重要ですが、コンプライアンスはセキュリティとは別物です。HRMは、ルールを理解しているか?」から「実際に安全な選択をしているか?」へと焦点を移します。
5. 受け身から、先回りするセキュリティ文化へ
従来のSATは、インシデント後や要件の一環として導入されることが多く、受け身な対応にとどまりがちです。一方、HRMは、継続的かつ先回りするアプローチです。ヒューマンリスクを予測し、過去の傾向を分析し、自然にセキュリティを意識できるような文化の構築を支援します。
今後におけるSATの役割
繰り返しになりますが、今後、SATが不要になるわけではありません。実際、SATはあらゆるHRM戦略の基盤として重要なピースです。ただし、SATだけでは足りません。HRMは、SATに測定・パーソナライゼーション・統合性といった要素を加え、組織のセキュリティをさらに強化します。
HRMは、従来のSATをより自然な学習体験へと進化させ、日常業務の中にスムーズにセキュリティを溶け込ませます。ゲーム化、タイムリーなコーチング、状況に応じたリマインダーなどを通じて、ユーザーごとのリスクプロファイルに適応し続けます。
最後に
HRMは単なる流行語ではありません。HRMとは、サイバーセキュリティへの取り組みを根本から進化させる重要な概念です。SATは引き続き不可欠な要素ではありますが、全体像の一部にすぎません。
HRMを採用することで、企業はセキュリティ意識の段階を超え、測定・実行・持続が可能なリスク削減モデルへと移行することができます。従業員を単なる受け身の存在から、セキュリティのために先回りできる防御者へと変えることができるのです。そして、これまで以上に賢く、強く、そして強靭なヒューマンファイアウォールを築けることになるでしょう。
原典:Stu Sjouwerman著 2025年4月16日発信 https://blog.knowbe4.com/how-does-human-risk-management-differ-from-security-awareness-training