日曜日の朝に目を覚まし、ストレッチをして、天気をチェックしたついでに、ブランチの前にうっかり42.195キロを走り切ってしまう人なんていません。マラソンというのは、孤独な朝、綿密な計画、剥がれた足の爪、そして犠牲にしたプライベートの上に成り立つものです。何週間も、何ヶ月もトレーニングを重ね、怪我をすればアイシングをし、テーピングを巻く。体に良いプロテインのために、大好きなプリンを我慢する。すべては、ここまでしなければ、あのフィニッシュラインを越えられないと分かっているからなのです。
セキュリティ文化も同じです。偶然できるものではありません。ポスターを3枚貼り、ちょっとしたクイズを行うだけで、全員がいつの間にか攻撃に引っかからない無敵の体質になっていた、なんてことは起きません。セキュリティ文化とは、誰も見ていない時や、プレッシャーにさらされている瞬間に、ブレずに同じ方向を選び続ける小さな選択の積み重ねです。
ランナーはノリだけで走り出しません。まず計画を立てます。セキュリティにも、それに相当するものが必要です。年に1回のトレーニングモジュールだけでは、従業員の学びにはなりません。
トレーニングやコーチングは、日々の業務の流れに組み込まれていなければなりません。危険な行動を行ったときのリアルタイムでのナッジや重要な判断をする前のポップアップ。必要なのは、マニュアルを読み込むのではなく、正しい行動を体に覚え込ませることです。
トラブルは起きるものです。7マイル地点でハムストリングがピキッと痛むこともあれば、一番起きてほしくないタイミングでマメができることもあります。その時の対処法は、決して自分を責めることではありません。ペースを調整し、体を休め、そこから学ぶのです。
過ちに対して人を罰すれば、人はそれを隠すようになります。逆に、迅速な報告を褒めれば、彼らは早い段階で、何度でも報告してくれるようになります。そうやって初めて、致命的な被害を防ぐことができます。
マラソンに向けて体を仕上げているとき、ランナーはジャンクフードばかりを食べたりはしません。なぜなら、体に悪いものを入れれば、パフォーマンスも悪くなるからです。セキュリティカルチャーにも、それと同じように正しいインプットが必要です。たとえば、業務の手間を増やすのではなく、減らしてくれるツールや人が読む気になるように書かれたポリシーです。
自分に合わないシューズを履いてマラソンを走ることもできますが、走った後に悲惨なことになった自分の足を見るのがオチです。セキュリティにおいて、煩雑で使いにくいプロセスは、まさにその合わない靴と同じです。もし不審なメールを報告するのに、5つのメニューをたどり、チケットを提出しなければならないとしたら、誰も何も報告しなくなったとしても驚きではありません。安全なルートこそ、最も簡単なルートにするべきです。後から絆創膏を買い漁るくらいなら、最初からまともなシューズにお金を使いましょう。
コミュニティは、人々が思っている以上に大きな力になります。初めてマラソンを完走した人に、何が心の支えになったかを尋ねてみてください。きっと、クラブでの練習やメンターの存在、あるいは30キロ地点で補給ジェルを差し出してくれた見ず知らずの人の話が返ってくるはずです。同じように、組織の中にセキュリティの推進役となる「セキュリティチャンピオン」を育てましょう。また、ヒヤリハットを見つけた人を称えましょう。失敗だけでなく、小さなサクセスストーリーを伝えることが鍵になります。
セキュリティ文化を短距離走のように扱った組織と、マラソンのように扱った組織は、いつでも見分けがつきます。前者は、天気が良く、コースが平坦であることを願います。後者は、雨天時のプランを用意し、ペース配分を事前に考え、替えの靴下を準備し、万が一すべてが台無しになったときに迎えに来てくれる人の連絡先を控えています。セキュリティにおいて重要なのは、決してミスを犯さないことではありません。異変にいち早く気づき、迅速に立て直し、途中で脱落することなく全員で一緒にフィニッシュできるチームを育てることです。
ポジティブなセキュリティ文化は、偶然には生まれません。気が遠くなるような長い道のりを経て、何度も繰り返し、忍耐強く、そして時には筋肉痛のような痛みを伴いながら一歩ずつ築いていくものです。
最初は失敗するかもしれません。でも次は失敗が少し減り、やがてうまくいくことのほうが多くなっていきます。そしてある日ふと顔を上げたとき、従業員たちが誰に指示されるでもなく自発的にリスクに対処し、非難を恐れずに報告し、お互いに支え合いながらフィニッシュラインを越えようとしている姿が見れるはずです。
それこそが、トレーニングする価値のあるゴールです。
Javvad MalikはKnowBe4のLead CISO Advisorです。かつてインシデント対応訓練のためにカーボローディングを試みた結果、SOCの棚には今もパスタが6袋残っています。
原典:Javvad Malik著 2026年4月22日発信 https://blog.knowbe4.com/nobody-runs-a-marathon-by-accident