私たちの生活には、あらかじめ備えておくべきことがたくさんあります。とはいえ、準備が間に合わず、その場の流れで何とかすることも少なくありません。
私自身、長年先延ばしにしていた検査をようやく受けることになり、つい先週、大腸内視鏡検査を受けてきました。正直に言えば、あまり口にしたくない話です。
…サイバーセキュリティのブログにしては変わった始まり方かもしれませんが、ぜひ最後までお付き合いください。
たしかに、あまり快適な経験とは言えませんでした。気まずく、不快な場面もありましたが、その中で「信頼」「準備」「透明性」が重要であることを改めて強く実感しました。40時間の絶食や書類の記入、そして自分のプライバシーや羞恥心と向き合う中で、サイバーセキュリティにおけるヒューマンリスクの管理と共通点があることに気づかされたのです。
成功の鍵は「事前の準備」
正直に言うと、いちばん大変だったのは検査そのものではなく、その前の準備段階、いわゆる「Suprep(下剤)」の方でした。24時間の透明な液体のみの食事制限と、硫酸ナトリウム、硫酸カリウム、硫酸マグネシウムを含む強力な下剤の服用。当然、トイレから離れられない一日を過ごしました。
…こう言うのも変ですが、これ、心当たりありませんか?
サイバーセキュリティでも、本番前の準備こそが勝負どころです。たとえば台風への備えを怠れば、家を失うかもしれません。試験に備えなければ、赤点をとるでしょう。では、サイバー攻撃への備えはどうでしょう?これは備えようと思えばできることのはずです。
実際、多くのサイバー攻撃は、未適用のパッチ、ゼロデイ脆弱性、クレデンシャルスタッフィング、あるいはフィッシングやスピアフィッシングに引っかかってしまったユーザーが原因で成功しています。これは単なるセキュリティ意識向上トレーニングだけでで解決する問題ではなく、ヒューマンリスクマネジメント(HRM)と、それを支えるセキュリティ文化の構築が必要になります。
強固なHRMプログラムを構築するには、リスクとなる行動を特定し、従業員に適切なトレーニングを行い、模擬攻撃を実施して備える必要があります。そして、すべては攻撃が起こる前に備えておく必要があります。
さて、話を私の検査に戻しましょう。
理解のない信頼が生むリスク
検査中は、鎮静剤が投与され、意識がありません。何が起きているのかもわからず、ただ医療スタッフと器具、そして一連のプロセスに命を預けるしかありません。
これは、私たちが日頃、従業員に求めていることでもあります。セキュリティプロトコルの内容を完全には理解していなくても、指示に従ってもらう必要があります。「これはクリックして」「あれはクリックしないで」「MFAを使って」「パスワードマネージャーを使って」「このメールは報告して」。つまり、何も言わずルールを信じろと言っているのと同様です。
理解もなく信頼を求めるのはリスクが生じます。だからこそ、ヒューマンリスクマネジメントが重要です。ルールを守らせるだけではなく、その背景にある「なぜ」を理解してもらうことで、ユーザー自身が責任を持ち、意識的に行動できるようになるのです。
見えない世界に身を委ねるということ
内視鏡検査の目的は、手遅れになる段階の前に問題を発見することです。
ランサムウェア、AIによるフィッシング、ビジネスメール詐欺(BEC)など、多くの脅威は「いかにも危険」と目に見える形では現れません。適用漏れのパッチ、使い回されたパスワード、あるいはフィッシングメールのリンクをクリックしてしまうなど、些細な原因が発端となります。多くの組織は、被害に対応するのに忙殺され、サイバーセキュリティの本質である「予防」に手が回らなくなっているのが現状です。
やりたくなくてもやらなければいけない
誰だって内視鏡検査なんて望んで受けるものではありません。私もそうです。ただ、90年代から2000年代にかけてがん治療のために複数の手術を経験してきたからこそ、検査は「やる意味がある」と確信しています。
経営層の中には、サイバーセキュリティをコストと時間の無駄と捉える人もいるでしょう。実際に、こうした取り組みはときに煩わしく、恥ずかしい結果が出ることもあります。従業員の多くがリンクをクリックしてしまい、それを役員に報告しなければならない場面も出てくるかもしれません。
ただ、不都合な事実から目を背けても、リスクがなくなるわけではありません。むしろ悪化します。真のレジリエンスは、透明性から始まるのです。医療も、サイバーセキュリティも、そしてリーダーシップも同じです。
本当の学びは「その後」にある
検査後、医師は検査結果を詳しく説明してくれました。どこが問題なかったか、今後注意すべき点、そして次回は7年後です、と。
サイバーセキュリティの担当者も、同じ姿勢であるべきです。
フィッシング訓練や意識向上キャンペーンのあとには、必ず振り返りを実施しましょう。「何を学んだのか?」「どこが弱点だったのか?」「次に何をすべきか?」
大事なのは、クリック率の低さやコンプライアンスの達成ではなく、リスク体制を時間をかけて成熟させていくことです。
最後に
サイバーセキュリティは、華やかな世界ではありません。むしろ、気まずく、不快です。しかし、やらなければいけないものです。
まるで、大腸内視鏡検査のように。
まだ受けたことがない方も、いずれ受ける日が来るでしょう。まあ、50歳を過ぎるといろいろガタが来るって言いますからね。
でも、その不快さを受け入れ、早めに備え、継続的な改善を重ねていくことで、被害リスクは大きく減らすことができます。
健康と同じで、セキュリティ意識も「習慣」でなければ意味がないのです。
もし共感いただけたら、あるいはヒューマンリスクマネジメントの取り組みについて話してみたいと思われたら、ぜひご連絡ください。ただ、病院着を着ているときは、そっと見逃していただけると嬉しいです。
原典:James McQuiggan著 2025年6月13日発信 https://blog.knowbe4.com/checkups-and-checklists-cyber-risk-isnt-just-a-technical-problem