サイバーセキュリティに真剣に取り組む企業文化を築く方法
Illustration by Clare Nicholas
サマリー:2024年の米国におけるサイバー犯罪の年間被害額は160億ドルに達し、その多くが人為的ミスを原因とする。この問題に対し、従業員の意識向上を求めるだけでは不十分だ。幹部の模範や継続的な改善プロセスといった課題... もっと見るを乗り越え、真の行動変容を促す必要がある。本稿では、リーダーが「影響力の原則」を用いて従業員との信頼を築き、行動への不確実性を減らすことで、組織的なセキュリティ文化を醸成する体系的なアプローチを提示する。 閉じる

情報セキュリティの向上に影響力の原則を活用する

 サイバー犯罪による年間被害額は、2024年には米国だけで前年比33%増の160億ドルに達した。これらの侵害の大半は、人為的な過ちが原因だ。システムや機器の設定ミス、情報や記憶装置の取り扱いのミス、悪意の行為者による操作などである。

 しかし、人的要因が情報セキュリティにおける最大の弱点ならば、それは同時に、適切な解決法によって最大の効果を上げられる部分でもあるのだ。

 人間中心のセキュリティのアプローチは、組織において持続可能な情報セキュリティを実現する大きな可能性をもたらす。たとえば、安全なパスワードを意識し、メールの潜在的脅威を疑って注意を払い、自分のコンピュータのロックを解除したまま放置しないよう徹底し、公の場で機密性の高いビジネス事項について話さないよう気をつけることを、全従業員に促すことができる。

 この人間主導のセキュリティの文化を実現するためには、企業はいくつかの課題に対処しなければならない。第1に、意識だけでは望ましい行動に自動的につながるわけではない。意識向上は重要なステップではあるものの、企業は実際のセキュリティ行動を測定し、正しい行動を取るよう誘導し、集団的なセキュリティ行動を企業文化に根づかせることを目指す必要がある。

 第2に、幹部はセキュリティ行動の模範を示すうえで重要な役割を果たすが、筆者らがインタビューした最高情報セキュリティ責任者らは、他の上級幹部らに情報セキュリティへの投資と取り組みの価値を納得してもらうのは難しい、と述べた。

 第3に、効果的な情報セキュリティの文化を築くためには、継続的な改善と見直しのプロセスが求められる。これは広い賛同を得なければ、実現が難しい。

 幸いにも、より慎重かつ責任ある行動を取るよう人々に働きかけるための、よく研究された行動学に基づく戦略がある。筆者らは長年にわたり、個人の行動、組織文化、心理的要因がサイバーセキュリティの対策と意思決定にどう影響を及ぼすのかを理解することに焦点を当ててきた。本稿では、筆者らの一人ネイダートが開発した「中核的動機モデル」を適用し、対人的影響のプロセスを通じて組織内の情報セキュリティ行動にポジティブな影響を及ぼす方法を説明する。