ヒューマンリスクマネジメント：セキュリティはなぜ経営戦略から切り離されてしまうのか？

サイバーセキュリティにおけるヒューマンリスクを削減するには、人を中心に据えたアプローチが必要です。効果的なトレーニングを実施することで、従業員はセキュリティ知識を身につけることができ、それが安全な行動につながります。さらに、従業員がお互いを支え合い、組織を守るようなセキュリティ文化を育むためにもトレーニングや訓練は欠かせません。

技術やポリシーも組織の保護に役立ちますが、人を中心に据えたセキュリティ体制がそれ以上に重要になります。なぜなら、技術やポリシーは人の行動が伴わなければ、セキュリティリスクを低減することができないからです。たとえば、インシデント報告を促す通報の技術を導入したところで、ユーザーが脅威を通報しなければ意味を持ちません。

ヒューマンリスクマネジメントの土台となるのは、「自律性」「公平性」「信頼」「公正さ」といった価値観です。これらは、職場の日常的な人間関係や組織文化にも深く関わるものであり、サイバーセキュリティの取り組みとも本来一致しているべきです。

組織の理念とサイバーセキュリティプログラムを一致させましょう
サイバーセキュリティプログラムの理念は、人事や人材戦略に通じるものであるべきです。サイバーセキュリティは、人材の能力を引き出し、成長を促す手段のひとつであり、「後回しにされるもの」や「情報セキュリティ部門だけの課題」ではありません。むしろ、業務の中で学び、継続的にスキルを向上させ、自身の職務遂行能力を高めるための機会として活用すべきです。だからこそ、すべてのリスクを成長の機会に変えるようなプログラム設計が求められます。

最近では、ディープフェイクを使ったオンライン会議が多くなっており、従業員が騙される可能性も大いにあります。そうしたリスクを逆手に取り、ディープフェイクのシナリオを再現した教材を使って、従業員が脅威を見抜き、自らを守る術を学べるようにしましょう。タイムリーな内容のため、従業員も価値を感じやすいトレーニングとなります。さらに、SNSやプライベートでもディープフェイクに触れる機会が増えている今、関心を持ってもらいやすいテーマです。このように、教育的かつ職場やプライベートでも実用的なコンテンツを提供することが大切になります。

サイバーリスクを学びの機会に変えるたびに、組織全体のレジリエンスは高まります。新たな脅威を素早く認識し、安全な行動を取れる従業員がいる組織こそが、価値を生み出し続けるための鍵です。

サイバーセキュリティを全員の責任に：使いやすさと実効性のバランスを取るには
サイバーセキュリティへの取り組みはどの組織にも不可欠ですが、現場の混乱やわずらわしさを招くような仕組みは避ける必要があります。

多くの組織では、サイバーセキュリティはしばしば後回しにされ、IT部門だけの責任と見なされがちです。しかし、サイバーセキュリティを全従業員にとって重要なテーマとし、組織全体で取り組むべき課題として浸透させることこそが、セキュリティ担当者の役割です。サイバーセキュリティは目的ではなく手段であり、リスクをゼロにすることではなく、「組織の価値創出を最大化しながら、リスクレベルをコントロールする」ことが本来の目的です。

そのため、トレーニングやツール、運用プロセスは、従業員にとって可能な限り負担が少なく、かつ最大限の効果を発揮するものであるべきです。Gartnerはこれを「minimal possible friction」（負担が最小限の優れたユーザー体験）と表現しています。しかし現状では、多くの意識向上プログラムは単調で、従業員の関心を引きにくく、実務に活かせる内容や行動につながるトレーニングが不足しています。これでは、かえって不要な負担を生むだけです。

一方で、効果的なサイバーセキュリティの取り組みは、組織に目に見える変化をもたらすことができます。従業員の行動を変え、セキュリティ文化の基盤を強化するには、ある程度の「負荷」や「気づき」を与える体験が必要なときもあります。大事なのは、無意味な負担をかけるのではなく、「行動の変化」を引き起こすように設計されたトレーニング内容です。

既に身についてしまっている危険な行動を見直し、新たに安全な習慣を身につけるには、意識的な学び直しとそれに伴う多少の負荷が必要です。どのようにその仕組みを作っていくかについては、本シリーズの次回で詳しく解説します。