割れた窓や錆びれた車、落書きなどが目立つ道を歩いてると、不安を感じたことはありませんか?この不安は、道の外観だけによって引き起こされているわけではありません。
1982年にジェームズ・Q・ウィルソン氏とジョージ・L・ケリング氏が提唱した「割れ窓理論」は、犯罪や反社会的行動の兆候が放置されると、さらなる秩序の崩壊や犯罪の増加を招くという考え方です。そしてこの理論は、サイバーセキュリティにも大いに通ずるところがあります。
サイバーセキュリティにおける“壊れた窓”とは?
多くの組織において、従業員のセキュリティ意識向上の取り組みは苦戦を強いられています。従業員がセキュリティポリシーを守らない、承認されていないソフトウェアをダウンロード、弱いパスワードを使うなど、未だに危険な行動は頻繁に行われています。まるで、デジタル環境のあちこちに「割れた窓」が放置されているような状態です。
従来の対策は、罰則の強化や技術的なトレーニングを行ったりするものが中心でした。しかしそれは、治安の悪い地域で罰金を増やすだけのようなもので、根本的な課題の改善にはなりません。
割れ窓理論をサイバーセキュリティに応用するには
街の落書きを消し、割れた窓を修理することで秩序と関心が生まれ、犯罪の減少につながります。デジタル空間にも同様のアプローチを取り入れることができます。
-
警戒心を持つ文化:従業員がどんなに小さなことでもセキュリティの懸念を報告できる環境を整えましょう。
-
小さな問題に即対応:軽微な問題にも素早く対応することで、セキュリティの重要性を組織全体に伝えられます。
-
良い行いを称える文化:セキュリティツールやプロセスは使いやすく、見た目にも分かりやすく設計しましょう。整備された店先のように、信頼感を生み出すことが大切です
-
見た目や使用感の改善:フィッシングメールを見破る、ポリシーを守るなど、日々の取り組みを可視化し、表彰しましょう。地域の清掃活動を称える感覚に近いものです。
実践するためには?
- デジタル環境の監査
従業員になったつもりで、組織のデジタル環境を点検をしましょう。古いソフトウェア、煩雑なプロセス、わかりにくいルールなど、どこに“割れた窓”があるかを洗い出します。 - 「見たら即報告」プログラムの導入
セキュリティの懸念を気軽に報告できる仕組みを作ります。ボタンやチャット一つで報告できるような仕組み作りが必要です。 - セキュリティの伝え方を刷新
長々しい説明文ではなく、インフォグラフィック、ショート動画、ミームなどを活用して、セキュリティコンテンツを魅力のあるものに変えていきましょう。誰もが興味を持つようなトレーニングを目指します。 - セキュリティチャンピオンの育成
各部署にセキュリティアンバサダーを探し、育成しましょう。彼らを通じて、目が届かない、日々の小さなセキュリティを保つことができます。 - “デジタルコミュニティ”イベントの開催
講義形式ではなく、皆で楽しめるようなセキュリティイベントを開きましょう。セキュリティフェア、ハッキングデモ、セキュリティ版脱出ゲームなど、いかにクリエイティブにできるかがカギです。
セキュリティ文化への道
割れ窓理論の考え方をサイバーセキュリティに取り入れることで、自然と安全が守られるデジタル環境を実現できます。大切なのは、違反を取り締まることではなく、”この場所を守りたい” と思える文化を築くことです。
前進するには、ルールや罰などで取り締まるだけではなく、誰もが自発的に取り組みたくなるセキュリティ環境をつくりましょう。
一つひとつの窓を修復していくことが、より安全な未来への第一歩になります。ともに私たちでデジタルの街を美しく保ちましょう。
原典:Javvad Malik著 2025年4月22日発信 https://blog.knowbe4.com/broken-cyber-windows-theory