強固なサイバーセキュリティ文化を育てる
2025 年 4 月 21 日 Effi Lipsman 著
文化は、フェンスではなく土壌
「サイバーセキュリティトレーニング」と聞くと、Windows 98 のワークステーションのようにフリーズしてしまう人は多いでしょう。しかし Verizon の「2023 DBIR」によると、データ侵害の 74% にはいまだに人的要因が関与しています。ソーシャルエンジニアリング、エラー、誤用などがその原因です。この数字は、サイバーセキュリティ文化の重要性を示す信号のようなものです。
セキュリティツールがただアラートとホコリを集めるだけの存在にならないためには、本質的で人間的な要素が必要です。その要素とは、セキュリティ優先の文化です。そして文化というものは、いきなり現れるものではなく「育て」なければならないものです。
「認識している」ことと「備えがある」ことは異なる
我々は「これぐらいもう常識だろう」という先入観にとらわれがちです。MFA(多要素認証)、フィッシング詐欺、パスワードマネージャー……どれも基本的なことだろうと。しかし実際は違います。
Tessian の調査によると、従業員の 43% が、疲れていたり、急いでいたり、リスクを理解していなかったりしたがために、セキュリティを損なうようなミスを職場で犯したことがある、と答えています。これはわざとセキュリティを軽視しているわけではなく、そもそも一般のユーザは攻撃者のように考えるようにはできていない、ということです。そのため、年に一度の退屈で義務的な研修ではなく、次のような工夫をしてみるとよいでしょう。
- 現実的なフィッシング訓練(ユーモアがあるとさらに効果的)
- 職種別トレーニング(経理と開発と人事ではニーズが異なります)
- 一口サイズのマイクロラーニングで、折りに触れて復習できるように
- ゲーミフィケーションで楽しく学べる仕組み
研修を単なるチェックボックスではなく、対話のきっかけにするべきです。
セキュリティを恐怖ではなくビジネスの成果に結びつける
恐怖を煽る戦略には限界があります。チームにいる人たちは、脅威が存在すること自体はすでに知っています。重要なのは、「なぜそれが自分ごとなのか」「日常業務にどう影響するのか」を理解してもらうことです。
- 営業チームには、セキュリティが不十分だと案件の進行が遅れる可能性があること
- 製品チームには、安全設計が長期的な信頼につながること
- 人事には、セキュリティを意識した入社・退社手続きが機密情報を守ること
- 経理には、セキュリティがリスクやコストに直結すること
これらをそれぞれ理解してもらうべきです。
「信頼」「スピード」「成長」などの実際のビジネス目標と結びつけることで、セキュリティは「IT部門だけの課題」ではなく、「全社的な責任」へと変わります。
「日常的に保護に勤しむ人」を意識する
最も頼りになるセキュリティの味方は、SOC(セキュリティオペレーションセンター)にいるとは限りません。マーケティング部門、顧客担当部門、オペレーション部門にいるかもしれません。「これは開いても大丈夫?」と一瞬立ち止まって考えることができる人たちです。このような人たちが「日常的に保護に勤しむ人」です。
- 彼らに名前を与え、称え、エンパワーする。
- ちょっとした「セキュリティチャンピオン」制度を導入する。
- IT/セキュリティチームと月例ミーティングをする。
- 新しいツールやプロセスを先行紹介する。
- 不審なアクティビティの報告に対する表彰をする。
文化はポリシーを通してではなく、人を通して広がります。だからこそ、文化の担い手にマイクを渡し(一杯渡してもよし)その声を広げてもらいましょう。
固定されたポリシーの設定ではなく、柔軟な対応を
文化は常に変わります。脅威も同様です。去年うまくいったやり方が、今年は通用しない可能性もあります。40 ページの PDF にすべてを記載するのではなく、柔軟性を保つべきです。
- 四半期ごとにトレーニング内容を見直す
- 権限やアクセス制御を定期的に確認する
- ユーザからのフィードバックを積極的に集める
セキュリティが「社員に対して」ではなく、「社員と一緒に」進化していくものだと感じてもらえれば、関心も高まります。
最後に:文化は「土壌」であり、「フェンス」ではない
どれほど強力なファイアウォール、エンドポイント保護、クラウドセキュリティ対策を導入しても、チームがセキュリティを理解し、その視点で考える習慣がなければ、ビジネスは依然として脆弱なままです。セキュリティ優先の文化を育てることは、完璧を目指すことではありません。それは、正しい価値観を植え、信頼を育み、大切なものを守るということなのです。そして、そのためには一人ではなく「一緒に」取り組むことも肝要です。
幸い、園芸の才能は必要ありません。必要なのは、継続する意志、地道な実践、そして「文化こそが最高のセキュリティ資産だ」という信念です。
サイバーセキュリティの土台を強化したいなら、まずは内部の文化を育てることから始めましょう。
ウォッチガードの関連リソース
セキュアな未来のために育てたい 5 つのサイバーセキュリティ習慣
サイバーセキュリティインシデントの原因:過半数がサイバーハイジーンの不備
7 Ways to Protect Remote Employees from a Cyberattack(英語)
See Yourself in Cyber: Welcome to Cybersecurity Awareness Month(英語)