サイバーセキュリティの業界は長年、2つに分かれて、それぞれが独自の主張をしてきました。まずは「技術派」です。侵入が難しいシステムを作り、AI搭載の次世代ファイアウォールがあればすべて解決できると主張します。
もう一方は「ユーザーの行動派」です。トレーニングと意識向上こそが鍵で、人々がリスクを理解すればクリックしなくなると信じています。
実際のところ、どちらも正しいです。しかし同時に、どちらも大きな問題を見落としています。
それは、技術と人の対策が噛み合っておらず、一つの防御として機能していないことです。その継ぎ目を、AIで強化された攻撃者が心理戦で突いてきます。結果として、インシデントの出発点は人の判断や操作に集中し、CISOの74%が最大のリスクはヒューマンエラーだと答えるに至っています。私たちの最新のヒューマンリスクマネジメント(HRM)ホワイトペーパーが示すとおり、従来のやり方は通用しません。AIによってフィッシングやソーシャルエンジニアリングが本物と見分けにくくなった今、前提を切り替える必要があります。
進化している攻撃に対して、年に一度の「とりあえずやる」トレーニングで十分と考えるのは、まるで水鉄砲でミサイルに挑むようなものです。監査上の要件は満たせても、実効的な防御にはなりません。その結果生まれるのが「Awareness-Action Gap(認識と行動のギャップ)」です。知識としては理解していても、金曜の午後3時に疲れて気が緩んだ瞬間には正しい行動ができない、という危険なギャップです。
もう議論している場合ではありません。今、求められるのはヒューマンリスクマネジメント(HRM)です。
HRMは単なる流行語ではありません。技術と人を切り離して考えるのではなく、相互に作用するひとつのシステムとして捉える抜本的な戦略です。高度なフィッシングメールをファイアウォールで防ぐことはできませんし、設計の甘いセキュリティプロセスをトレーニングだけで補うこともできません。HRMとは、人の行動や動機、時に起こる判断ミスまで含め、テクノロジーと同じ厳密さで分析し、それを支える仕組みと文化を構築することです。
人は忙しく、時に気が散り、騙されてしまうこともあります。しかし、それが現実です。だからこそ、一人ひとりに合ったセキュリティ戦略が必要です。高度なテクノロジーでアタックサーフェスを狭めつつ、ユーザーの判断力を育て、万一のミスも受け止めるセーフティネットを組み込む。それが現代のあるべき姿です。
原典:Javvad Malik著 2025年9月19日発信 https://blog.knowbe4.com/why-your-security-strategy-needs-a-human-upgrade