従業員にサイバーリスクをより真剣に受け止めさせるには:Gartner Insights Pickup(397)
長年、セキュリティ部門はサイバーリスクと取るべきリスク軽減策について、従業員に認識してもらおうと努力してきたが、あまり効果的ではなかった。従業員は、日常業務を最小限の労力で完了する便利なコツの一つとして、サイバーリスク対策をすり抜けることに慣れてしまっている。この問題は組織文化的に、そして価値観の変革による解決が必要だ。効果的なセキュリティ行動様式/組織文化の変革プログラムを構築するにはどうすればよいのか。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティ部門は長年、サイバーリスクと取るべきリスク軽減策を従業員に認識させることに力を入れてきた。だが、このアプローチは危険な行動の抑止にあまり効果的ではなかった。
Gartnerの調査によると、93%の従業員が、組織のリスクが高まる行動と認識した上でその行動をしている。さらに、74%が、業務目標を達成するためならサイバーセキュリティポリシーに違反するだろうと答えている。
従業員は悪意があるわけではなく、不注意なわけでもない。日常業務で最小限の労力で、より迅速に作業を完了するための便利なコツの一つとして、サイバーリスク対策をすり抜けることに慣れてしまっているにすぎない。従業員がこうした行動を取る理由として挙げている上位3つのうち1つは「対策に従わなくても、重大な結果は生じない」という考えだ。
この問題は組織文化的に価値観を変えることで解決する必要がある。セキュリティリーダーは、従業員がサイバーリスクを現実のものとして受け止め、危険な行動を避けるようになる新しい方法を、直接的な罰則以外の方法で見つけるべきだ。それに合わせて従業員への働きかけ方を適応させなければならない。同僚などの周囲からの影響を重視するといったような組織文化的な手段を利用することが、こうしたリスク認識や対策を徹底させる上で有効だ。
その好例が、米国が第二次世界大戦中に「口は禍の元」(loose lips sink ships)という有名なスローガンを用いて展開したキャンペーンだ。このキャンペーンは非常に奏功し、軍事情報を漏らすこと自体が非国民的行動と見なされるようになった。
現在の組織がなすべきことを、これと対比して考えてみよう。同じように効果的なセキュリティ行動様式・組織文化の変革プログラムを構築するには、どうすればよいだろうか。
組織は、サイバーリスクが個人にもたらす結果を強調することで、セキュリティポリシー違反を「帰属意識が低い行動」と思わせる必要がある。そのための最善の方法は、コミュニケーションにおいて強力なイメージを使用し、感情的な反応を呼び起こす、インパクトの強い一文または二文でメッセージを伝えることだ。
またメッセージは、できるだけ目に見える形で発信し続ける必要がある。ポスターを掲示したり、従業員向けのニュースレターやポータルサイトで宣伝したり、ある一連の価値が自社にとってなぜ重要なのかを、シニアリーダーに論じてもらったりするとよい。
行動と影響を強く結び付ける
人間は元来、機会を求め、危険を避けるように動機付けられている。サイバーセキュリティに関する判断がもたらす影響をプラスマイナスにかかわらず明確化し、その一環として個々人への影響も説明する。その際、判断の結果ではなく影響に焦点を当てるようにする。前向きなコミュニケーションの可能性が広がるからだ。
好影響やロールモデルを強調することは、組織文化的な態度の変更を促す上で非常に有効だ。また、実際の従業員の例を示すと、他の従業員への明確な指針となり、サイバーセキュリティのロールモデルとしてさらに際立つ。
既存の企業価値をベースにする
人々が既に信じていることと結び付ければ、考え方を育んだり、変えさせたりすることがより容易になる。安全性は、エネルギー産業や公益事業で中核的な企業価値となっていることが多い。金融機関や保険業界における金融犯罪の防止や、製造業界における品質も同様だ。これらの価値観をサイバーセキュリティと明確に結び付け、メッセージの文化的影響を増幅するために利用するとよい。
組織文化を変えるには、意図と努力が必要だ。サイバーセキュリティに対する「認識付け」を掲げるだけでは効果が期待できないのと同様に、単に「安全性」を声高に提唱しても意味がない。従業員を動かすには、既存の価値をサイバーセキュリティに関連付ける必要がある。
社会的プレッシャーの認識によって結果を増幅させる
「他人に害を及ぼしてはならない」といった内在的な社会的圧力を利用したコミュニケーションを検討する。これは金融機関のような高リスクの環境や、物理的な安全重視の組織文化が既に基準となっている環境(医療機関、製造業、鉱業など)で効果的だ。
例えば、オーストラリアのある銀行は、「DV(Domestic Violence)の問題があるパートナーが銀行を利用して、疎遠になった相手の居住地情報を入手すると、致命的な結果につながる可能性がある」ことを従業員に教育した。これにより、従業員にデータや機密情報の漏えいを、現実のリスクとして捉えさせた。
業態や業種に固有のリスクが比較的低く、安全性への文化的認識が概して低い環境では、実際の人物に関する内容に置き換えることで、大きな影響を与えられる。正しいことをする従業員に、ロールモデルとしてスポットを当てることが効果的だ。社会的な圧力を高めるとともに、他の従業員に手本を示すことになる。
個人的なものにする
リスクに関する価値観や考え方が変わるのは、リスクが現実化したときに、自分や自分の大切な人に降りかかる結果を想像できた場合だ。例えば、メッセージの中で、アイデンティティー窃取が全ての人にもたらす非常に現実的な脅威に焦点を当てれば、従業員にとって結果を内面化しやすくなる。こうしたメッセージでは、共感を呼ぶイメージも効果的だ。
同様に、セキュリティコントロールに従う煩わしさは軽微だと説明し、対策を怠ることでいかに他人に迷惑が掛かるかを示す。これによって従業員に、結果を個人的なものとして捉えさせ、社会的プレッシャーをかけることができる。
楽しいものにする
ユーモアは本質的に記憶に残りやすい。リスクとその結果をユーモラスな方法で結び付けるのは難しいかもしれない。だが、うまくできればずっと印象に残る。
例えば、オーストラリアのある私立学校はデータ漏えいを防ぐために「悪い行いが、永久記録に残る」という昔ながらの警告を利用し、制服を着た生徒が弁当箱とクレジットカードの請求書の束を持っているポスターを作り、「あなたのせいで個人情報が盗まれれば、それはあなたの黒歴史として永久に記録に残ることになる」というスローガンを掲げた。
最も効果的でインパクトのあるメッセージは、行動とその結果を結び付け、社会的プレッシャーを利用して結果を増幅させ、既存の考え方や価値観を土台として利用し、個人的なものとして関連付け、そして楽しいものであれば理想的である。従業員とのコミュニケーションにおいて、これらの条件を全て満たせられれば、組織は従業員の危険な行動を変えることに成功するだろう。
出典:How to get employees to take cyber risk more seriously(Gartner)
※この記事は、2025年2月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。