ユーザーはしばしばITセキュリティポリシーを障害と見なします。共感的なポリシーエンジニアリングは、CISOが受け入れを促進し、セキュリティを効果的に実施するのに役立ちます。
多くの企業では、ITセキュリティガイドラインが従業員にとって邪魔または非現実的だと認識され、抵抗に遭遇します。これにより実施が困難になり、効果が損なわれ、セキュリティ部門と事業部門の協力関係にも負担がかかります。
その結果、サイバーセキュリティはパートナーとしてではなく、しばしば障害として認識されるようになり、これは致命的なセキュリティリスクとなります。CISOにとって、技術的に優れたガイドラインに加え、日常業務での受け入れが重要です。共感的なポリシーエンジニアリングと戦略的なセキュリティコミュニケーションによる新しいアプローチが、持続可能なセキュリティ文化の醸成に役立ちます。
ITセキュリティ:業務のプレッシャーと社会的影響
多くのIT部門は、ユーザーがセキュリティガイドラインの遵守に対して動機付けが低いと考えています。企業は、遵守を強制するために制裁やセキュリティ意識向上トレーニングに頼っています。しかし、セキュリティ設計がポリシー遵守のユーザー行動に与える影響を調査した2日間の実験では、参加者は当初セキュリティガイドラインに前向きな態度を示していたものの、業務のプレッシャーが高まるにつれてこれらのガイドラインがますます障害と認識され、違反が頻発するようになりました。ストレスや状況要因が参加者のセキュリティ関連の行動に明らかな影響を与えていました。
したがって、安全な行動は単なる知識の伝達だけで生まれるものではなく、個々のリスク評価や具体的な日常の状況に大きく依存します。ユーザーは必ずしもガイドライン通りに行動するわけではなく、多くの場合、意欲がないからではなく、他の要因が優先されたり、より重要だと考えられたりするからです。高い目標、時間的プレッシャー、円滑な協力の必要性は、しばしば抽象的なセキュリティ要件と対立します。こうした利害の衝突は、セキュリティ、IT、他部門間の緊張をすぐに引き起こし、最終的にはセキュリティ文化を危険にさらします。
セキュリティ管理者は、これに対抗するために3つのポイントに取り組むことができます。
1. ステークホルダー分析を実施する
CISOはまず、なぜユーザーが安全に行動しないのか自問するべきです。ここにはさまざまな要因が関与します。例えば、ユーザーが脅威を認識していない、セキュリティ行動のメリットが見えない、またはセキュリティ対策が業務の妨げになると感じている場合があります。ユーザーの目標と利害が対立している場合や、時間的なプレッシャーを受けている場合もあります。多くの場合、単純にリソースが不足していることもあります。例えば、規則でサプライヤーや顧客との安全なデータ交換が求められていても、従業員にそのためのプラットフォームが提供されていない場合や、周囲にロールモデルがいない場合などです。
セキュリティ対策を実施する前に、さまざまなステークホルダーグループ(IT部門、技術部門、経営陣、管理部門、製造スタッフ)間の対立する目標や優先順位を特定し、バランスを取ることが重要です。これは、すべての関係者の好みを把握するためにビジネスインフォマティクスで使われるステークホルダー分析などの手法で行うことができます。セキュリティ管理者が各部門の業務実態や目標について知れば知るほど、それに合わせたセキュリティ対策を設計でき、受け入れが高まり、最終的に成功した実施につながります。
2. ユーザー目線でセキュリティガイドラインを設計する
安全でない行動はしばしばユーザーのせいにされますが、実際には対策自体に問題があることが多いのです。ITセキュリティ研究では、個々のユーザー行動、例えば安全な行動が性格特性に依存するかどうかなどに焦点が当てられがちです。しかし、セキュリティ対策が実際の業務実態にどれだけ適合しているか、つまり日常業務で受け入れられる可能性がどれだけ高いかという問いは軽視されています。
あらゆる脅威に対して、通常いくつかのセキュリティ対策が存在します。しかし、実際には労力、受容性、互換性、複雑性の違いが考慮されていないことが多いのです。代わりに、セキュリティ部門やIT部門はしばしば技術的な側面だけで意思決定を行います。
効果的なITセキュリティポリシーを確立するには、技術的に正しいだけでなく、従業員の視点からも合理的で実用的でなければなりません。その鍵となるのが共感的ポリシーエンジニアリングです。セキュリティガイドラインは、理解しやすく、受け入れられ、日常業務の目標と両立できるように設計されるべきです。これは、従業員を早い段階から開発プロセスに参加させ、彼らの対立する目標や実務上の課題も含めることで最も効果的に実現できます。
その後のパイロットプロジェクトによって、潜在的な障害や課題を早期に特定し、対策を調整することができます。「アーリーアダプター」、すなわちイノベーションに前向きなユーザーグループから始め、建設的なフィードバックを得るのが効果的です。これは大規模展開前に考慮すべきです。こうして、日常業務で実際に機能し、実践されるセーフティカルチャーが育まれます。
3. 敬意を持ってコミュニケーションする
セーフティ対策やガイドラインは、従業員の業務実態に響かない形で伝えられることが多く、従業員を巻き込んだり動機付けたりすることを目的としていません。例えば、指示、標準的なオンライン研修、従業員が真剣に受け止めないコミックのような過度に遊び心のある形式などです。「敬意アプローチ」の方が効果的です。これは、禁止や罰則ではなく、対等な立場でのコミュニケーションに依拠します。
決定的な違いは、従業員を有能で責任ある大人として扱うことです。彼らのニーズや業務実態を共感的に理解することに焦点を当てつつ、セキュリティ目標を見失わないようにします。
セーフティポリシーをうまく伝え、対立を回避するためのいくつかのテクニックがあります:
戦術的共感: これにより承認が生まれ、信頼が強化され、従業員が聞き入れられていると感じ、セキュリティ関連情報を受け入れる意欲が高まります。
「ノー」ではなく「あなたを助けるために私を助けて」: セキュリティ要件を押し付けるのではなく、CISOは「どうやって?」という質問を使ってユーザーに提案された解決策について考えさせることができます。ユーザーがセキュリティ要件に関して変更を求める場合、セキュリティ側は単に「ノー」と言うべきではありません。従業員自身が、セキュリティ要件を守りつつ効率的に業務を行うために何を提案するかを尋ねるのが有効です。これにより対話が生まれ、関係者全員が受け入れられる妥協点を見つけやすくなります。
机上の理論ではなく実体験: 直接的な体験に基づくトレーニングコンセプトは、参加者に現実的なシナリオ、例えばフィッシング、ランサムウェア、USB攻撃などのサイバー攻撃に直面させます。中小企業の典型的な職場環境を再現したリアルな環境で、サイバー攻撃がどのように展開されるかを実際に体験します。これにより、ITセキュリティへの深く持続的な理解が生まれます。講義ではなく、人とその体験に焦点を当てます。
CISOは効果的なセキュリティ文化の形成者
多くのセキュリティ対策が限定的な成功しか収められないのは、ユーザーだけが原因ではありません。しばしば非現実的な要件、関与の不足、不十分なコミュニケーションが原因です。セキュリティリーダーにとって、教育や制裁に頼るのではなく、戦略的なパラダイムシフトが必要です。彼らは、技術的に機能するだけでなく、人間レベルでも共鳴するセキュリティ戦略を持つ、共感的なポリシーアーキテクトのような存在になるべきです。彼らは、安全な意思決定が日常業務に自然に組み込まれる枠組みを作ります。これには、対立する目標を見極める力、対等なコミュニケーション、そしてセキュリティを企業内の共有価値として定着させる能力が求められます。
