全ての組織が従業員に求めているのは「安全な行動」です。さらに、ほとんどの場合、「安全」の定義が数多くのセキュリティポリシーとして文書化されています。しかし、ポリシーがあっても従わない、あるいは提供されているツールを活用しないという従業員が後を絶ちません。
Gartnerの調査によると、全従業員の69%が意図的にサイバーセキュリティの指針を回避しており、93%が必要に迫られたときは、意図的に危険な行動を取っていることが明らかになっています。
モチベーションの問題なのか?
この問題の原因としてよく上げられているのは、意識の欠如やポリシーの強制力不足です。また、「組織への帰属意識が低い人ほどソーシャルエンジニアリングの被害に遭いやすい」という指摘もあります。英ウォーリック大学の研究チームはこれに注目し、さらなる研究を行いました。
セキュリティポリシーの遵守は、多くの場合、雇用主と従業員の間の「紳士協定」として捉えられています。そのため、リモートワークやフレックスタイム制度、ボーナスなどの報酬や待遇が維持され、従業員が「この組織は約束を守ってくれている」と感じている限り、相互の尊重と理解が成り立ち、暗黙のルールも含めて雇用関係のバランスは保たれます。
しかし、雇用関係が長くなるにつれ、さらなる期待が自然と生まれてきます。徐々に、それらの期待が裏切られると、心理的契約違反(Psychological Contract Breach, PCB)となり、従業員の不満や反発が生じることがあります。
「心理的契約違反」がセキュリティ違反を招く
ウォーリック大学のリサーチャーは、この心理的契約違反が、情報セキュリティポリシーの遵守意図(Intention to Comply with Information Security Policies、ICI)に与える影響を調査しました。この研究では、内発的および外発的動機の両面が分析されています。
調査の結果、心理的契約違反が高いほど、セキュリティポリシーの遵守意図が低下する傾向にあることが分かりました。さらに、心理的契約違反は、従業員の態度や公平性の認知といった内発的動機に悪影響を与える一方で、制裁の重さといった外発的動機には影響されません。そのため、心理的契約違反の程度が高い従業員は、内発的な動機づけが弱く、教育や指導による改善が難しくなります。さらに、心理的契約違反が引き金となって、従業員の間に組織への不信感や否定的な感情が生まれると、それがソーシャルエンジニアリングへの脆弱性を高める要因にもなります。
リーダーシップとセキュリティ文化が鍵
優れたリーダーシップとセキュリティ文化を持つ組織は、従業員と誠実に向き合い、心理的契約のリスクを下げ、情報セキュリティポリシーの遵守意図を改善することができます。以下のような取り組みが有効となります。
ポジティブなセキュリティ文化の構築が成功の鍵
安全な行動を促すには、使いやすいツール、望ましい行動の指針となるポリシー、そして「組織を守りたい」という内発的な動機づけの3つが必要です。つまり、効果的なセキュリティプログラムとは、人・プロセス・テクノロジーを融合させた包括的なアプローチとなります。
KnowBe4は、組織におけるセキュリティ文化の醸成を支える「ヒューマンリスクマネジメント」の重要性を訴えています。セキュリティ文化とは、誰にも見られていないときでも従業員が「当たり前のように」セキュリティを意識して行動するという意識や価値観の結果として現れるものです。
良い文化がある組織では、従業員が主体的にセキュリティに関与し、それを自分ごととして捉えるようになります。こうした組織はフィッシング攻撃の被害にも遭いにくくなります。セキュリティ文化が根づいていれば、それが従業員の安全な行動につながります。
原典:Martin Kraemer著 2025年7月9日発信 https://blog.knowbe4.com/psychological-contract-breach-and-the-power-of-security-culture-research-insights