人材こそ、セキュリティ意識の高い組織になるための鍵

2022年、サイバー攻撃による被害総額は6兆ドルに達しました。2023年には8兆ドルの被害が予測されており、2025年には10兆5千億ドルにまで増加すると予測されています。EC CouncilのCybersecurity Exchangeによると、2023年だけでもおよそ330億のアカウントが侵害されると予想されています。企業がセキュリティ体制を迅速に変革する必要があることは明らかです。この変革の成功の鍵は、変化における人的側面の効果的な管理にあると私たちは確信しています。

最新のテクノロジーは、システムやデータ、物理的資産、ビジネスプロセスを悪意のある侵害や偶発的な損害から保護するための有効な手段となります。しかし、こうしたテクノロジーを導入して保守し、ソフトウェアを最新の状態に保つとともに、不審なトラフィックを認識してインシデントに対応するのは、システムではなく「人」です。

意識の低い従業員や十分なトレーニングを受けていない従業員は、企業のセキュリティにおいて最も脆弱な部分となる可能性があります。テクノロジーによる防御効果を大幅に低下させ、サイバー犯罪者が容易に組織に侵入してしまう原因となることもよくあります。事実、従業員による不注意や金銭的利益を目的とした情報の窃盗、機密データの悪意ある破壊や漏えいは、世界中で情報セキュリティリスクの上位に入っています。

セキュリティ意識向上により人的要因を強化

従業員が意欲的で企業資産の保護方法について知識を持っているなど、従業員のセキュリティ意識の高い組織では、セキュリティリスクを大幅に軽減できます。

セキュリティに対する価値観を組織に根付かせる最善の方法の1つは、セキュリティ意識向上キャンペーンです。キャンペーンには数か月の有期のものから無期限で継続されるものまで幅広くありますが、次のような目標を達成する必要があります。

• 強力なセキュリティ文化を構築する
• 従業員の教育とトレーニングを行う
• 従業員がセキュリティ上の懸念事項を認識し、適切に対応できるように支援する
• 最新の情報を提供して、従業員が新たなリスクと適切なリスク対応について常に知識を持っている状態を保つ
• 従業員に、自身のコンピューターやモバイルデバイスにあるデータは価値があり、脆弱であることを常に意識させる
• 組織の競争優位性を強化するものとしてセキュリティを推進する
• 組織の評判とブランドを保護し、向上させる

変革が失敗する理由

変革における人的側面を念頭に置かないと、失敗のリスクが高まり、従業員の抵抗や、プログラムの再計画や遅延につながります。

実際、ほとんどの変革の取り組みでは、期待された成果が完全には得られていません。BCGの調査によると、成功している変革プログラムは30%だけです。つまり、全変革プログラムの70%が目標を達成していないのです。

最もよくある間違いは次のようなものです。

• ビジョンと戦略が明確に伝わっていない
• 従業員が変化に抵抗している
• 知識やスキルが不足している
• 上級管理職が模範となる行動をとらない

セキュリティ変革においてこれらの人的要因に対処しない場合、従業員はセキュリティリスクについて理解していても、次のような理由から期待される行動を取らない可能性があります。

• 複雑なパスワードやセキュリティ対策の追加による負担を感じている
• 不審な要求を疑ったり、パスワードの共有を拒否したり、電子メールの送信元を再確認したりするなどの行動が、社会的に礼儀正しいと考えられている行動と矛盾し、葛藤を感じている
• セキュリティリスクを検出する準備ができていないと感じ、その複雑さに圧倒されている
• 率先して模範となる管理職がいない場合に、ポリシーを受け入れたくないと感じている

変化における人的側面を管理する方法

先を見越した人間中心の変革によって、早い段階でエンゲージメントとコミットメントを構築することで、成功の可能性が高まります。チェンジマネジメント (MoC) を成功させるには、次のような行動が必要です。

• 変更と変革の管理に体系的なアプローチを採用する
• 組織と個人、双方の観点を考慮する
• MoCとコミュニケーション手法を適用して、変化が受け入れられるように促す
• 組織と個人に対する変化のメリットを最大化する
• 変化の適用を確実に行い、組織内に定着させる

MoCを成功させることによって、ビジネスへの影響が組織全体で明確になり、選択した道筋をサポートするために重要な要素が確実に揃うようになります。

• 組織の文化、価値観、ポリシー
• 組織体制、事業構造、地域構成
• プロセスと手順
• 役割と責任
• 従業員が将来的に必要となる新しい知識、能力、スキル

個人レベルでも、セキュリティタスクが全員の日常業務の一部になっているような状態に移行しやすくなります。

変化の影響を受ける人々 (従業員と管理職の両方) には、適応するまでの時間が必要であり、変革計画はさまざまなスケジュールに対応する必要があります。たとえば、パイロットプログラムは、大規模な従業員グループに変更プログラムを適用する数か月前から開始される可能性があります。 

セキュリティ意識向上を実現するための5つの構成要素

個人の変化を成功させるためには、次の5つの構成要素が重要です。 

セキュリティ意識向上のための5つの構成要素

1) 変化の必要性を理解し、受け入れる

変革を成功させるには、セキュリティを意識した組織に進化する必要性を従業員が理解できるように支援し、スケジュールの詳細や、何が変わり何が変わらないのか、そしてその理由を伝える必要があります。情報を広めるには次のような方法があります。

• 組織の状況に合わせた魅力的なストーリーとして変化の必要性を伝え、組織内外における過去の攻撃事例やセキュリティイベントとそれらの影響を共有する
• 電子メールやニュースレター、ポスター、チラシ、小冊子、カレンダーなどのさまざまな媒体や社内コミュニケーションのチャネルを活用して、対象グループに合わせたコミュニケーションを行う。図や写真、文章、音声を活用してメッセージを強調する
• 定期的にリマインダーを送信してメッセージを強化することで、メッセージを確実に全員に浸透させる
• ハッキングの実演、ソーシャルエンジニアリングのロールプレイ、サンプルシナリオや、モデルオフィスにおける変化を体験する機会を通じて、意識と理解を高める

2) 変化に参画し、変化をサポートしたいという願望

組織の安定は、個人のメリットとなる可能性はあっても、個人の変化を促す十分な動機となることはほとんどありません。セキュリティ意識向上キャンペーンを成功させるには、個人と組織の両方にとってのメリットを明確に宣伝するとともに、変化しないことによるリスクも説明する必要があります。

従業員の関心とエンゲージメントを高めるには、次のような方法があります。

• 新しいセキュリティ知識やツールの経験によって専門的な能力が向上するなど、個人のメリットを挙げる
• 教育と遊びを組み合わせる
  1. 対戦型のゲームを企画して、セキュリティのスキルと知識の向上を図る
  2. 各チームにセキュリティアンバサダーを置くなど、人々を特定の役割に任命して、個人のセキュリティ意識向上を認識させる
• 今後期待される行動に合わせて、ポリシー、規則、手順 (不履行に対する罰則を含む) を変更する

3) 変化の実現方法に関する知識

従業員がセキュリティリスクを認識し、新しいツールやプロセスに慣れるには、適切なトレーニングが必要です。トレーニングの内容が従業員の職種や知識に合わせて調節されていれば、定期的なトレーニングへの参加意欲が高まります。次にヒントをいくつか示します。

• 対象者の責任範囲、技術的知識、機密情報へのアクセスのレベルに応じてトレーニングを調節する。必要に応じて、具体的な詳細事項を含める
• さまざまなチャネルやアプローチ、媒体を導入する。たとえば、eラーニング、対面でのトレーニング、VIPトレーニング、動画、ニュースレターなど
• 定期的かつ継続的に利用可能なトレーニングを提供する

4) 必要なスキルと行動の実践

セキュリティを意識した行動を標準とする文化と環境を確立するには、管理職の取り組みが鍵となります。従業員が新しい知識やプロセスを負担ではなくメリットとして認識できるようにするには、次のような方法があります。

• 管理職が模範となること、一般の従業員に求められている規則を遵守し、同じ行動をとることを奨励する
• 意図的なセキュリティ違反の重大性を明確に伝え、メリットや評価を通じて、正しい行動を促進する
• 多要素認証 (MFA) やパスワードの規則、ログオン方法、その他のセキュリティツールなどをできるだけユーザーの使いやすいものにする
• 期待される状態についての一貫したメッセージやリマインダーを通じて、セキュリティ意識向上を当たり前の行動にする

5) 変化を持続可能なものにする

努力して実現した成果を持続させ、さらに発展させるには、次のような方法があります。

• 適用可能な管理手段を定義して、セキュリティ意識向上の手段の有効性を検証する。たとえば、高度な学習ツールには通常、トレーニングに対する評価と成否を測定するための一連の指標が組み込まれている
• アンケートやフィードバックツール、その他の測定手段を利用して、意識向上キャンペーンの有効性を評価し、成否を分析して、改善の必要な領域を特定する
• セキュリティ変革の重要性を示すために、最初の成果と良好な結果を共有する。その後、継続的に不足点に対処し、改善活動を実施して変革を維持する
• フィッシング詐欺のシミュレーションや同様のテストを導入して、セキュリティ意識向上と脅威認識能力を検証する
• 定期的なコミュニケーションやトレーニングによって新たな脅威やリスクを周知することで、従業員の知識を最新の状態に保ち、意識を高いレベルに維持する

セキュリティ意識向上に終わりなし

人的側面の変化をもたらすセキュリティ意識向上キャンペーンを全社的に開始することは、組織のセキュリティ意識向上を加速させる効果的な方法です。しかし実際は、効果的なセキュリティキャンペーンが本当の意味で終わることはありません。新たな脅威や攻撃者が絶えず出現しているため、それに対処できるだけの情報や準備を従業員に提供し続ける作業は、警戒心、コミュニケーション、協力を必要とする継続的なプロセスです。

変革は、進化し続けるプロセスです。組織のニーズや変化し続けるセキュリティ動向に応じて、時間とともに進化します。

セキュリティを意識した組織は、セキュリティの文化を築き、組織の資産を日々守るために必要なツール、行動、考え方によって常に従業員を強化します。これにより人的要因は、組織のITと情報セキュリティにとって最も脆弱な部分から、強い力へと変化するのです。

DXCのセキュリティの詳細はこちら

著者について