Why Building a Security Culture at Your Company Matters and How to Start

企業でのセキュリティ文化の構築が重要な理由と、その始め方

サイバー セキュリティとはテクノロジーや技術的制御だけの話ではありません。技術的制御は間違いなく重要ですが、サイバーセキュリティ戦略の中心は人であるべきです。メール、データ、クラウド アプリケーションを使用した人の行動が、組織のセキュリティ体制に直接影響を与えるためです。

サイバーセキュリティの人間の側面に対処することは、今日の脅威状況を考えると以前にも増して重要な要素となっています。攻撃者は人を標的にし続けており、一般的に攻撃の一部としてソーシャル エンジニアリングを使用します。ランサムウェア攻撃には多くの場合、悪意のある添付ファイルをダウンロードする人、または組織への第一段階のアクセスに使用する認証情報を引き渡す人が必要です。最新の Verizon Data Breach Report (Verizon のデータ漏えいレポート) によると、データ侵害の 85% に人的要因がかかわっており、61% に認証情報がかかわっているとのことです。

Data Breach Report Chart from the 2021 Verizon Data Breach Report

データ侵害の 85% に人的要因がかかわっている (n=4492)
データ侵害の 61% に認証情報がかかわっている (n=4518)

組織のサイバーセキュリティ戦略で「人」が重要な役割を果たしている (出典: 2021年 Verizon のデータ漏えいレポート)

従業員の行動を変えるのはセキュリティ文化

サイバーセキュリティ文化が強力であれば、セキュリティ体制に多大な影響を与えます。それは、文化が行動を変えるためです。たとえば、アジアの一部では、飲食するときに音を立てるのは、美味しいという表現です。しかし、欧州の多くの国々では、音を立てて食事をすることは無作法と見なされ、ひんしゅくを買う行為となります。

セキュリティを重視する文化が従業員の姿勢と行動を形作ります。リーダーと従業員がサイバーセキュリティを IT 部門だけの仕事ではなく全員の義務であると考えている場合、サイバーセキュリティが重視され重要であることから、それぞれが組織を守る行動をとります。さらに重要なのは、従業員とそのセキュリティ意識の高い行動が、強固な防衛線になるということです。

職場でセキュリティ文化を構築するには

では、組織内でのセキュリティ文化の構築にどのように取り組めばよいのでしょうか。以下、強固なセキュリティ文化の構築で最初にすべきことです。

  • 上層部の支持を得る: 組織の誰もがセキュリティ文化に影響を与えるとはいえ、役員やマネージャーは、その役割の性質上、与える影響も大きくなります。多くの場合、会社のリーダーにより組織全体の雰囲気が決まります。CEO がサイバーセキュリティについて、またそれが組織の目標とどのように一致するのかについてスタッフミーティングや全社会議で常に話していれば、会社のデータやシステムを保護することが重要であるというメッセージを発信することになります。
  • 望ましいセキュリティ行動を特定する: 行動が文化の現れであるならば、従業員のどのようなセキュリティ行動をとってほしいですか?従業員にとって極めてわかりやすい主な行動を一定数設定しましょう。属性には以下のようなものが含まれます。「クリックする前に立ち止まって考える」、「疑わしきは報告する」。望ましい行動を特定したら、セキュリティ意識向上トレーニング プログラムを支える明確な柱を考えます。
  • セキュリティ意識向上を継続的なものにする: 強固なセキュリティ文化は突然できるものではありません。年に 1 度のセキュリティ意識向上トレーニングのようなイベントだけで形成されるものでもありません。強固なセキュリティ文化を構築するには地道な努力を継続する必要があります。セキュリティ意識向上トレーニングを年に 1 回行っているのであれば、短時間のトレーニングを四半期ごと行うことを検討しましょう。また、従業員の意欲を高める社内での伝達手段 (タウンホール、ニュースレター、会社のイントラネットなど) を探し、行動の変化を促進しましょう。
  • 優れたセキュリティ行動を表彰する: 優れたセキュリティ行動を示した従業員を称えます。望ましいセキュリティ行動を評価し、賞品などを授与することで、正の強化が生じ、他の従業員も同じ行動をとるよう奨励することができます。賞品は凝ったものや高価なものにする必要はありません。楽しむことが重要なのです。ある会社は、四半期で疑わしいメッセージを最も多く報告した従業員に魚のトロフィーを授与します。また、疑わしいメッセージを報告したユーザーに金魚クラッカーの袋詰めをプレゼントする組織もあります。

セキュリティ文化はどのような組織にとってもサイバーセキュリティ戦略に不可欠な要素です。持続的な行動変容を起こして、従業員を標的から強力な最後の砦に変化させることができます。 

組織で強固なサイバーセキュリティ文化を構築する方法について詳しくは、仮想イベント シリーズ Art and Science of Building Security Culture (セキュリティ文化構築の理論と技巧) にご参加ください。