情報漏えいなどのインシデントが後を絶たない原因は、従業員の意識の低さではなく、企業に根付いた“暗黙のルール”にある可能性がある。リスクの原因を断ち切り、セキュリティ文化を育てるための原則とは。
経営層がセキュリティを理由にして、従業員の要求を断ることは“よくあるシーン”だ。この状況を変える可能性を秘めているのが、2025年6月に英国家サイバーセキュリティセンター(NCSC:National Cyber Security Centre)が公開した提言だ。事業と従業員を守るためのセキュリティ文化を、企業に根付かせるための6つの行動指針とは。
従業員は、サイバー攻撃の矢面に立たされる存在だ。そのため、企業全体で強固なセキュリティ意識を育むことが、サイバー攻撃への耐性を高め、万が一インシデントが発生した際の迅速な対処と復旧を可能にする。
とはいえ、セキュリティ文化の重要性を伝え、社内外に根付かせることは簡単ではない。セキュリティ文化は、セキュリティベンダーにとっては製品/サービスの販売戦略には組み込みづらく、ユーザー企業の経営層にとっては従業員に定着させづらいものだ。その結果、企業は具体的な製品やサービスの導入を優先させ、セキュリティ文化の醸成を後回しにしがちになった。
NCSCは、セキュリティ文化を「職場において、サイバーセキュリティに関する標準や価値観を企業全体で共有したもの」と定義する。その上で、この文化が「従業員の行動や人間関係の規範を定め、協力、信頼、学習する能力に影響を与える」と説明している。
「経営層は、セキュリティを事業成功の根幹を成すものだと捉え、企業全体に強固なセキュリティ文化を根付かせるため、断固たる行動を起こさなければならない」。NCSCの最高技術責任者(CTO)であるオーリー・ホワイトハウス氏は、セキュリティ文化の重要性をこう強調する。ホワイトハウス氏によれば、全従業員がセキュリティを「重要な自分事」と捉える文化がなければ、従業員はリスクを見過ごしてしまう。その結果、攻撃者に悪用され得る脆弱(ぜいじゃく)性、ひいては壊滅的で長期にわたる影響をもたらす恐れがあるという。
「今回の提言が示す6つの原則は、健全なセキュリティ文化を確立する一助になる。経営層が主導し、あらゆる企業に文化を浸透させる上で役立つはずだ」(ホワイトハウス氏)
NCSCが公開した6つの基本原則は、従業員にセキュリティ関連の行動を促し、従業員が安心してその形成に関与できる文化を育むための環境づくりを支援するものだ。これによって、優れた業績とセキュリティを両立させる職場の構築を後押しする。もちろん、企業にはそれぞれ固有の事情があり、あらゆる状況に対応できる万能な解決策は存在しないことにも言及している。原則の詳細は以下の通りだ。
セキュリティを統括する経営層は、セキュリティが「事業目標の達成を可能にするもの」だと明確に位置付けなければならない。従業員には、日々の業務システムやデータを維持する上でのセキュリティの重要性と、自身の行動がセキュリティにどう貢献するのかを理解させることが求められる。同時に、セキュリティ施策が業務の妨げにならないよう配慮することも不可欠だ。セキュリティ担当者は、セキュリティ施策が業務に悪影響を及ぼす可能性を理解し、その影響を軽減させるための権限を持つべきだ。代替策を用意せずに従業員が業務で使うツールへのアクセスを制限するといった事態は避けなければならない。
誰もが安心してサイバーセキュリティについて話せる、心理的に安全な場を整えることが望ましい。従業員がセキュリティ部門に、セキュリティに関する質問や問題報告を迅速かつ手軽にできるルートを構築する必要がある。インシデント調査は犯人探しではなく学びと改善点を得ることを目的にして、悪意のない従業員のミスを罰してはいけない。
レジリエンス(回復力)の高い企業は、変化に対する適応力がある企業だ。これはセキュリティも同様であり、セキュリティにおける変化を前向きに受け入れるための文化が重要になる。ただし、業務に混乱を招きかねない性急な変更は控えるべきだ。企業が新しい方針を導入するとき、従業員は変化への順応を求められる。そのための支援を、企業が十分に提供していると従業員が実感できる支援体制を整えることが重要だ。
ほとんどの企業には、建前とは裏腹に「黙認される近道」のような“暗黙のルール”が存在し、セキュリティ部門の意義を形骸化させている。機密情報をUSBメモリで持ち出すといった、セキュリティ意識に欠ける行動を禁止するだけでは不十分だ。経営層は、そうした行動を容認させてしまう根本的な企業風土、例えば時間外労働を強いるプレッシャーなど、規範の核心にある問題にこそ対処しなければならない。
セキュリティを統括する経営層は、自社の経営層に対し、自らの行動がセキュリティ文化に与える影響に対して責任を自覚するよう求めなければいけない。セキュリティに関する共通の目的を定めて周知、徹底し、定めた目的を経営判断の基準に据える必要がある。経営層自らが安全な行動の模範を示し、企業風土に良い影響を与え、無意識に容認してきた問題行動を抑制していくべきだ。
セキュリティ担当の経営層は、誰もが参照しやすく理解しやすい、常に最新の状態に保たれたルールとガイドラインを策定、提供しなければならない。各ルールについては、その有効性やセキュリティ文化形成への貢献度、実用性、閲覧しやすさ、対象範囲の広さ、企業の目的との整合性を検証する必要がある。特に、厳守すべき「ルール」と、あくまでも助言である「ガイドライン」の違いを、従業員が明確に理解できるようにすることが肝要だ。現場からのフィードバックを継続的に収集してセキュリティ施策に反映させ、変更した点があれば広く周知し、古い情報は研修資料や社内システムから速やかに削除する必要がある。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
