Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > サイバー意識文化の測定
Blog Banner - Measuring a Cyber Awareness Culture

サイバー意識文化の測定

by Andreas Wuchner updated 1月 14, 2025 サイバーセキュリティー・リスク管理
Reading Time: < 1 minutes

最近まで、サイバー意識の指標は多くの人にとって規制に駆動されたチェックボックスの演習として扱われてきました。規制当局は、従業員一人当たり年間x時間のサイバー意識トレーニングを要求し、それが完了すると、組織はチェックボックスを付け、翌年まで待ちます。規制当局はフィッシングシミュレーションを要求するので、キャンペーンを実施し、誰がクリックし、誰がクリックしないかを確認し、それが結果です。完了。

それはもっと重要であるべきでしょうか?もちろんです。過去数年間の成功したサイバー攻撃を見てみると、約90%が人的エラーに起因しています。たとえそれが50%であっても、それは依然として非常に高いです。すべての予防的なサイバーセキュリティツールが整備されていますが、それらはすべてを防ぐわけではありません。だからこそ、この数値を下げるために人々を力づけることが依然として重要です。人的サイバーリスクを管理することは必須です!

より現代的な組織は改善を目指しています。

成功は、組織がサイバーセキュリティをどれだけ本当に重視しているかにかかっています。組織は通常、ユーザーがセキュリティ問題の最大の原因であると信じています。コンピュータの背後にいる人間を防御戦略の最強の先鋒に変えることを考えた人はあまりいません。従業員を負債として見るのではなく、資産にしましょう。

「サイバーセキュリティについて全員に教育する必要がありますが、それを彼らにとって関連性のあるものにしなければなりません。」

規制当局や監査人は、組織のサイバーセキュリティ意識や文化プログラムについてますます頻繁に質問しています。これらの組織が従業員を力づけ始めるのが早ければ早いほど、彼らのサイバーセキュリティの姿勢は改善されます。

健全なセキュリティ文化の構築

組織は、セキュリティの重要性を強調するポリシーと手順を確立し、セキュリティプロトコルに関するトレーニングと教育を提供し、セキュリティ意識のある行動を奨励することで、健全なセキュリティ文化を構築できます。

チームメンバーがセキュリティについて質問できるオープンな環境を作り、スタッフ間でベストプラクティスを奨励することで、組織は従業員にセキュリティ意識を植え付ける雰囲気を作り出すことができます。

さらに、組織は、疑わしい活動を報告したり、機密データを保護するために追加の予防策を講じたりするなど、賢明なセキュリティ判断を行った従業員を報奨することで、ポジティブなセキュリティ文化を強化できます。

組織はまた、従業員が報復を恐れずにセキュリティ問題をリーダーシップに報告できるチーム環境を育む必要があります。

課題とは何か?

課題は技術と人の2つのカテゴリーに要約できます。

サイバー意識文化を測定する際の問題の1つは、フィッシングクリック数のようなツールから得られるデータが、クリック数だけを測定し、文化そのものを測定しないことです。最終的に、ツールは知っていることしか知りません。文脈でデータを提供しません。次に、そのデータはどれほど信頼できるのでしょうか?ツール/コントロールは適切に展開されていますか?モバイル電話もカバーしていますか?カバレッジは最適化されていますか?データは正確でタイムリーですか?一貫した信頼できるデータがなければ、意味のある結論を出すことはできません。

人の側では、サイバー意識のある文化を築くのは本当に難しいです。

新しいセキュリティツールを購入するのは、組織全体の誰もがサイバーセキュリティに深く関心を持つようにするよりもはるかに簡単です。多くの人は、セキュリティツールを仕事の邪魔になる厄介なものと見なしています。サイバーセキュリティについて全員に教育する必要がありますが、それを彼らにとって関連性のあるものにしなければなりません。

サイバーセキュリティが生活全体の問題であることを認識させましょう。この考え方を普及させることができれば、戦いの半分は勝ったも同然です。人々は、サイバーセキュリティのような抽象的なものが自分や家族の生活にどのように影響を与えるかを見て、真に理解すると、より関心を持ちます。

これらの課題をどのように克服するか?

成功したサイバー意識文化プログラムの多くは、サイバーセキュリティに本当に関心を持ち、基礎的なセキュリティ知識を向上させるために時間を捧げる意欲のある組織内の人々、つまりサイバーチャンピオンを特徴としています。彼らはセキュリティについて話し、仲間をチェックし、サイバーセキュリティ文化を本当に推進する擁護者になります。この人的要素は、顔の見えないボードからの命令よりもはるかに効果的です。

もう1つの解決策は、サイバー意識をゲーム化することです。最悪のクリック率を持つチームのための恥の壁で楽しむことができますし、より真剣に、サイバー意識に優れたチームを称賛する名誉の壁を使用することもできます。良いサイバー衛生を実践する人々やチームを認識し、称賛しましょう。これらの人々は、負債ではなくセキュリティ資産です。

サイバー意識トレーニングの力—サイバーセキュリティの重要な要素

サイバー意識トレーニングは、サイバーセキュリティの重要な要素です。なぜなら、従業員にオンラインで安全かつ安心しているために必要な知識とツールを提供するからです。インターネットやソーシャルメディアの使用に伴うリスクを理解するのを助けると同時に、パスワード保護やデータ暗号化など、安全なコンピューティングの基本を教えます。サイバー意識トレーニングはまた、存在する多くのサイバー脅威を認識し、それにどのように対応するかを従業員に慣れさせるのに役立ちます。この知識は、データ侵害、アイデンティティ盗難、その他のサイバー攻撃を防ぐのに非常に貴重であり、組織がデータと評判を保護するのに役立ちます。

サイバー意識文化をどのように測定するか?

組織内でサイバー意識文化を測定するのは非常に難しいことがあります。組織がサイバーオンボーディングトレーニングを完了したかどうか、またはシミュレートされたフィッシングキャンペーンをどのくらいの頻度でクリックするかなど、基本的なことを測定するのは当然のことです。

測定はしばしば規制要件やフレームワークによって駆動されます。実際、セキュリティコントロールフレームワーク(SCF)には、セキュリティ意識とトレーニングに関する11のコントロールがあり、NISTはそれらを「保護」機能に分類しています。しかし、すべての規制がセキュリティ意識の要素を要求しているわけではないことは注目に値します。たとえば、ISO 27001やCOBITです。これは、おそらくサイバー意識がセキュリティの「二次的」な側面と考えられていた時代の名残です。

「今日、彼らは『トレーニングプログラムがありますか?』と尋ねます。最終的には『プログラムは効果的ですか?』と尋ねるでしょう。これは非常に異なる質問であり、簡単には答えられません。」

これらのコントロールを比較的簡単に測定できるため、組織がコンプライアンスを遵守していることを規制当局に証明できますが、これでは組織のサイバー意識文化に関する意味のある知見を提供しません。その結果、このチェックボックスの態度は、組織内の人的サイバーリスクを削減するのに役立ちません。

将来的には、監査人や規制当局は質問の仕方を変えるでしょう。今日、彼らは「トレーニングプログラムがありますか?」と尋ねます。はい。「全員がそれを行いましたか?」はい。最終的には「プログラムは効果的ですか?」と尋ねるでしょう。これは非常に異なる質問であり、簡単には答えられません。

サイバー意識に関する10の質問を含むテストをあなたに与えたとしましょう。強力なパスワードとは何ですか?フィッシュをどのように見分けますか?そのようなことです。最後に、あなたが10問中6問正解したことがわかります。6はしきい値なので、合格です。しかし、あなたが実際にこれらのことを知っているかどうかはわかりません。推測していましたか?カフェで出会った技術に詳しいティーンエイジャーやアシスタントにテストを受けさせましたか?

サイバー意識文化を測定する現代の組織では、同じ質問がされますが、回答にかかる時間で測定されます。また、「回答にどれだけ自信がありますか?」とも尋ねられます。この知見は、ユーザーとしてのあなたや組織のサイバーセキュリティプログラムについて多くを明らかにします。

この方法でセキュリティ文化についても多くを学ぶことができます。伝統的なサイバーセキュリティテストで良好な成績を収めた過信したユーザーは、将来より注意深くなるかもしれません。彼は今、メールが本当にCEOからの緊急メールなのか、北朝鮮の不正なGmailアカウントからのフィッシュなのかを確認するためにメールの上にカーソルを置くかもしれません。これは悪いサイバー意識文化を示しています。

良いサイバー意識文化を持つ組織には、このような従業員がいます。これらの従業員は資産です。彼らはトレーニングに参加し、個人のデジタルセキュリティを理解し、すべての質問に迅速かつ正確に自信を持って答えることができます。

サイバー意識文化を測定するもう1つの良い例は、自動ロック画面の使用です。多くの企業は、コンピュータを離れるときに手動でロックするべきだというポリシーを持っています。そして、そうしない場合は、グループコントロールに基づいてx分後に自動ロックされます。

「ツールは数字しか見ないので、そのツールだけに指標を頼ると、重要な文脈を欠いた狭い視点を得ることになります。」

オフィス環境では、通常サイバー意識のある人々が周りにいるため、この違反を指摘することができるため、ロックされていない画面を見つけるのは難しいかもしれません。しかし、今では多くの人が在宅勤務のシナリオにあり、適切なトレーニングや許可を受けていない配偶者、同居人、または子供があなたのデバイスを見たり使用したりする可能性があります。彼らが何を見たりクリックしたりするかは誰にもわかりません。

手動ロックと自動ロックを指標として追跡することで、サイバー意識文化についてある程度の理解を得ることができます。人々がガイドラインを読み、トレーニングを受けて、ポリシーが無人のときに画面を手動でロックすることを指示していることを知っていることがわかります。

対照的に、従業員が昼食に出かけるときに画面をロックせずに放置し、自動ロックに入る場合、それは組織のサイバー意識文化についても同様に多くを語っています。この場合、文化は改善の余地があるか、またはトレーニングに問題があります。どちらの環境でも、ポリシーは意味のあるものである必要があります。「これをやれ」と言うだけではなく、なぜこれらのことが重要なのかを人々に示すことが重要です。

セキュリティ意識プログラムの成功を測定する方法

組織は、セキュリティプロトコルに関する従業員の理解を評価するために定期的な評価を実施することで、セキュリティ意識プログラムの成功を測定できます。これらの評価は、組織の特定のニーズに合わせた調査、クイズ、またはインタラクティブな演習の形を取ることができます。

これらの評価の結果を以前の結果と比較することで、組織の全体的なセキュリティ姿勢に改善があったかどうかを判断できます。さらに、セキュリティインシデントを追跡して、従業員がセキュリティプロトコルに従っているかどうかを判断できます。セキュリティインシデントの増加は、セキュリティプロトコルに関する従業員の理解が不足していることを示唆し、さらなるトレーニングが必要であることを示しています。

顧客のフィードバックも評価に組み込むことができ、顧客はデータの安全性について貴重な洞察を提供できます。これらすべての情報は、組織のセキュリティ意識プログラムがどれほど成功しているかを包括的に把握するのに役立ちます。

人的サイバーリスクモニタリングがサイバー意識文化にもたらすものは何か?

サイバーセキュリティにおける人的リスクの意識は、全体的なセキュリティとリスクの姿勢を理解するための1つの要素に過ぎません。

人的サイバーリスクモニタリングがセキュリティ測定にとって非常に価値がある理由は、通常は相互作用しない複数の異なるソースからのデータを組み合わせるからです。ツールは数字しか見ないので、そのツールだけに指標を頼ると、重要な文脈を欠いた狭い視点を得ることになります。

たとえば、ツールは組織内の新しい参加者や退職者がいるかどうかを知らないかもしれません。したがって、意識ツールとHRツールからのデータを組み合わせることで、追加の文脈を提供します。同様に、意識データ、オートロックデータ、特権アクセスデータを組み合わせることができます。

その後、重要なビジネスアプリケーションにアクセスできる人々が、オートロックに入る前に画面を無人にしているかどうかを確認できます。このデータは、誰かが年次セキュリティトレーニングに合格したかどうかよりも、サイバー意識文化についてはるかに多くの洞察を提供します。

「データを異なる方法で組み合わせることで、サイバー意識文化について本当に興味深い質問をし始めることができます。」

重要な情報にアクセスできる多くの人々がサイバーセキュリティに関心を持っていない場合、それを知る必要があります。なぜなら、それはセキュリティトレーニングが明らかに響いておらず、何かがひどく間違っているリスクがはるかに高いことを意味するからです。

データを異なる方法で組み合わせることで、サイバー意識文化について本当に興味深い質問をし始めることができます。すべての新しい参加者が必須トレーニングに登録されていますか?彼らは最初の週に最初のフィッシングテストメールを受け取りましたか?彼らは組織に10年間在籍している人々と比較してどのくらいの頻度でクリックしていますか?若い従業員は、在籍期間の長い従業員よりも多くまたは少なくクリックしますか?どの部門が最もクリックしますか?マネージングディレクターは、エントリーレベルの従業員よりも多くまたは少なくクリックしますか?

これらの種類の質問への回答は、単にクリック数やオートロック数だけでは得られない、はるかに意味のある洞察を提供します。より多くの洞察を得ることで、サイバーセキュリティトレーニングやプログラムを調整することができ、コンプライアンスチェックリストのための従来の一律のセキュリティテストよりもはるかに効果的です。より多くの洞察を得ることで、最終的にサイバー意識に費やした費用がどれほど効率的で影響力があるかを見て理解することができます。

この記事をサイバー意識文化と測定に関する入門書と考えてください。Cybsafeは、組織が人的サイバーリスクを管理するのを支援するサイバーセキュリティソフトウェアおよびデータ分析会社であり、優れたリソースを提供しています。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks