ヤフーはサイバーセキュリティを重視する組織文化をいかに構築したのか

従業員の行動は指導や研修だけでは変わらない

by ケリー・プローソン ,ショーン・スポジート ,マーシャ・アルビスマン ,ジョシュ A. シュワルツ

2021.11.08

Pater Dazeley/Getty Images

サイバーセキュリティの重要性が増す中、従業員を直接指導したり、研修を実施したりする企業は多い。しかし、それが大幅な行動改善につながることはめったにない。誰からも監視されていない状況で、従業員が期待する行動を取るとは限らないのだ。ヤフーはこの問題に対処するために、行動変容をうながす画期的な仕組みを導入した。本稿では、同社の取り組みを通じて、サイバーセキュリティを重視する組織文化を構築するための方法論を提示する。

　従業員に「やりましょう」と指示するだけでは、実質的な改善を動機づけるには不十分である。

　サイバーセキュリティの啓発ビデオを見たことがある従業員に尋ねてみればわかるはずだ。データセキュリティに留意するようビデオは教えるが、それがセキュリティに関する企業行動の大幅な改善につながることはめったにない。

　自社のサイバーセキュリティの文化を向上させ、最終的に攻撃への抵抗力を高めるには、「従業員は誰にも見られていない時にどう行動しているか」を測定しなくてはならない。

　昨年末、マサチューセッツ工科大学（MIT）の研究機関であるサイバーセキュリティ・アット・MITスローン（CAMS）は、ヤフーのセキュリティ組織と協働を始めた。「パラノイズ」のニックネームを持つこの組織は、自社のサイバーセキュリティの文化に影響を及ぼすために、どのような管理メカニズムを用いてきたのか――それを知ることが協働の目的だ。

　パラノイズのプロアクティブ・エンゲージメント・チームは、いくつかの興味深く画期的なメカニズムを巧みに導入し、サイバーセキュリティ行動の向上へとつなげた。

従業員の行動変容をどのように促すべきか

ケリー・プローソン

サイバーセキュリティ・アット・MITスローンエグゼクティブディレクター

研究対象はサイバーセキュリティ分野における組織、戦略、マネジメント、リーダーシップの課題。現在はサイバーセキュリティ文化の構築を中心に研究を行う。博士。

ショーン・スポジート

ヤフープロアクティブ・エンゲージメントチームメンバー

以前は業界アナリスト、ジャーナリスト、コンテンツストラテジストとして活動。

マーシャ・アルビスマン

行動科学者

前職ではヤフーの行動科学者、セキュリティアナリスト、トレーニング専門家、データビジュアライザーで構成されるチームを運営し、従業員のサイバーセキュリティ行動の改善に取り組んだ。カリフォルニア大学デイビス校で定量心理学の学士号を取得。学習、消費主義、サイバーセキュリティにおける人間行動に焦点を当てた活動を行う。

ジョシュ A. シュワルツ

ヤフーパラノイズテクニカルセキュリティ担当シニアディレクター

ヤフーの情報セキュリティチーム「パラノイズ」でテクニカルセキュリティ担当シニアディレクターを務める。彼が統括する組織は、攻撃的セキュリティ評価、レッドチームの運営法、セキュリティ文化を後押しするプロダクトの構築、行動変容の施策に取り組む。