近年、サイバー攻撃の脅威がますます高まり、サイバーセキュリティへの投資は急増している。しかし、どれほど強固なシステムを導入しても、従業員がセキュリティポリシーを逸脱する例が後を絶たず、企業は脅威にさらされ続けている。筆者らの研究によると、従業員は悪意があってポリシー違反を行うとは限らず、むしろ善意を形にするために手順を守らないことが判明した。本稿では、ポリシー違反がなくならない理由を明らかにし、マネジャーにとって重要な3つの教訓を示す。
昨年(2021年)夏、コロニアル・パイプラインはサイバー攻撃を受け、米南東部全域でガソリンの供給をめぐりパニックが広がると、同社はおよそ500万ドルの身代金を支払った。わずか数週間後、世界最大級の食肉加工会社JBSがサイバー攻撃を受け、米国、カナダとオーストラリアの工場が操業停止に追い込まれた結果、同社は身代金1100万ドルの支払いに応じた。
このような攻撃は、ここ数年でますます増えている。新型コロナウイルスのパンデミックが事態をさらに悪化させ、パンデミックの初期数カ月間でサイバー攻撃は400%増えたとFBI(米連邦捜査局)は報告している。
その対策として、サイバーセキュリティへの投資が急激に増えている。しかし残念ながら、それらの努力によって、脆弱性を生む根本的な要因に必ず対処できているわけではない。
より高性能で、スマートで、安全な技術システムの開発にIT専門家が奮闘しても、プログラムから排除できないリスクが一つある。人間だ。とりわけ、リモートワークの普及に伴いセキュアシステムへのアクセスがより分散的になると、従業員による一度の不適切なクリックが、デジタルエコシステム全体を脅かすことも十分にありうる。
なお、一部の組織は技術面の取り組みを補完するために、従業員を潜在的な攻撃経路と見なしたサイバーセキュリティ施策を始めている。これらの施策で通常想定されるのは、従業員は無知または悪意のいずれかによってセキュリティ手順に違反する、というものだ。
しかしながら、筆者らの最近の研究では、従業員が手順に従わないのは多くの場合、実際には「意図的だが悪意のない違反」の結果であり、従業員のストレスが大きな要因である可能性が示されている。
規定違反の多くは、害を及ぼそうという欲求ではなく、ストレスが引き金
筆者らはさまざまな業界に属する330人あまりのリモートワーカーに、2週間の期間内における毎日のストレス度と、サイバーセキュリティポリシーの順守度を自己申告してもらった。
また、在宅勤務への移行がサイバーセキュリティに及ぼした影響の理解を深めるために、パンデミックでリモートワークを余儀なくされた36人の専門職者に対し、一連の詳細なインタビューを実施した。
その結果、サンプル全体において、セキュリティ慣行の順守は断続的であった。分析を実施した就業日10日間のうち、サイバーセキュリティポリシーを完全に順守できなかったことが少なくとも一度はある参加者が67%を占めた。平均すると業務タスク20件ごとに一度の割合で不順守が生じていた。
では、手順の違反が生じた原因は何か。セキュリティポリシーを守れなかった理由を尋ねたところ、参加者の間で最も多かった3つの回答は、「自分のタスクをより効果的に達成するため」「自分が必要なものを得るため」「他者の業務の達成を助けるため」であった。これら3つは、従業員が故意にルールを破ったケースの85%を占めている。
対照的に、害を及ぼそうという悪意が申告されたケースは、規定違反のうちわずか3%であった。したがって、悪意なき違反(業務遂行上の必要性のみを純粋な動機とするもの)は、報復的な違反の28倍多かったことになる。
加えて、参加者がより高度のストレスを申告した日には、故意にセキュリティ手順に違反する傾向が格段に高いことも判明した。これは、業務遂行の妨げとなるルールを守ることへの忍耐度が、高度のストレスにより低下したことを示唆する。
ストレスの原因として多かったのは、仕事と家庭からの要求を両立できないこと、雇用不安、そして皮肉にも、サイバーセキュリティポリシーの要求事項そのものであった。手順に従うことで、生産性の妨げになりそうだ、余計な時間や労力が必要になりそうだ、仕事のやり方を変えることになりそうだ、頻繁に監視されている気分になりそうだ――このような懸念が生じる時、手順に違反する傾向が高まっていたのである。
これらのデータは自己申告であるため、無自覚の違反については、当然ながら測定できていない。したがって、無知や人為的ミスから生じるセキュリティの問題が広がっていることに関して、本研究から明確な結論を導くことは難しい。
しかし、筆者らの研究結果が強く示唆するのは、悪意ある従業員の「内部脅威」に対するメディアの大々的な注目とは裏腹に、ルールの完全順守を故意に怠る可能性の背後には、善意から生じる理由がいくつもあるということだ。これに基づいて筆者らは、マネジャーにとっての3つの重要な教訓を見出した。
