公的機関は、攻撃者が高度な自動化技術を駆使して従業員を欺く、AI搭載型のソーシャルエンジニアリングという深刻な脅威に直面している。従来の「チェックボックス式」のコンプライアンス研修、つまり年一回のビデオ視聴やクイズだけでは、進化し続けるこれらの脅威を阻止するには不十分だ。サイバーセキュリティ企業KnowBe4の副社長であるデビッド・ボシュラー(David Bochsler)は、一般的な規律の遵守よりも個人の行動を重視するモデル、すなわち「人的リスク管理（HRM）」への移行が必要だと主張している。

HRMは、特定の脆弱性や役割に基づいて従業員に「人的リスクスコア」を割り当てるという、特定と評価のサイクルで運用される。これにより、極めてパーソナライズされたトレーニングが可能になる。例えば、財務チームはビジネスメール詐欺の検知方法を学び、経営幹部はホエーリングと呼ばれる幹部を狙った標的型攻撃に焦点を当てる。このように各部門が直面する実際のリスクに合わせて対策を講じることで、職員を単なる脆弱な存在から、組織を守る強固な防御層へと変貌させることができる。

さらに、人間の直感とマシンの自動化を統合することで、国家安全保障のための「善循環（フィードバックループ）」が生まれる。従業員が自動化ツールを通じて不審なメールを報告すると、その情報は即座にセキュリティ自動化システムに送られ、脅威の検証と無害化が行われる。調査によると、このハイブリッドなアプローチを採用した組織は、技術的なフィルタリングのみに頼る組織よりも最大108日早く侵害を封じ込めることができ、サイバーインシデントによる財務的・運用的な影響を大幅に軽減できることが示されている。

公的機関は、攻撃者が高度な自動化技術を駆使して従業員を欺く、AI搭載型のソーシャルエンジニアリングという深刻な脅威に直面している。従来の「チェックボックス式」のコンプライアンス研修、つまり年一回のビデオ視聴やクイズだけでは、進化し続けるこれらの脅威を阻止するには不十分だ。サイバーセキュリティ企業KnowBe4の副社長であるデビッド・ボシュラー(David Bochsler)は、一般的な規律の遵守よりも個人の行動を重視するモデル、すなわち「人的リスク管理（HRM）」への移行が必要だと主張している。

HRMは、特定の脆弱性や役割に基づいて従業員に「人的リスクスコア」を割り当てるという、特定と評価のサイクルで運用される。これにより、極めてパーソナライズされたトレーニングが可能になる。例えば、財務チームはビジネスメール詐欺の検知方法を学び、経営幹部はホエーリングと呼ばれる幹部を狙った標的型攻撃に焦点を当てる。このように各部門が直面する実際のリスクに合わせて対策を講じることで、職員を単なる脆弱な存在から、組織を守る強固な防御層へと変貌させることができる。

さらに、人間の直感とマシンの自動化を統合することで、国家安全保障のための「善循環（フィードバックループ）」が生まれる。従業員が自動化ツールを通じて不審なメールを報告すると、その情報は即座にセキュリティ自動化システムに送られ、脅威の検証と無害化が行われる。調査によると、このハイブリッドなアプローチを採用した組織は、技術的なフィルタリングのみに頼る組織よりも最大108日早く侵害を封じ込めることができ、サイバーインシデントによる財務的・運用的な影響を大幅に軽減できることが示されている。