ティップ
2026年3月25日6分
ユーザーはIT セキュリティポリシーをしばしば障害と見なします。共感的なポリシーエンジニアリングはCISOが受け入れを促進し、セキュリティを効果的に実装するのに役立ちます。
earthphotostock – shutterstock.com
多くの企業でIT セキュリティポリシーは抵抗に直面しています。従業員がそれらを障害的または実務的でないと感じるためです。これは実装を困難にし、有効性を損なわせ、セキュリティ部門と事業部門間の協力を損なわせます。パートナーではなく、サイバーセキュリティはしばしばブレーカーとして認識されます-これは致命的なセキュリティリスクです。CISO(最高情報セキュリティ責任者)にとって、これは技術的に正しいポリシーに加えて、日常的な受け入れが重要であることを意味します。共感的なポリシーエンジニアリングと戦略的なセキュリティコミュニケーションを使用した新しいアプローチは、持続可能なセキュリティ文化を促進します。
IT セキュリティ: 職場の圧力と社会的影響要因
多くのIT 部門では、ユーザーはセキュリティ要件を遵守するモチベーションが低いという見方があります。企業はルール遵守行動を強制するために制裁と訓練に依存しています。しかし、セキュリティデザインがルール遵守ユーザー行動にどのように影響するかを調査した2日間の実験は次を示しました:参加者が最初はセキュリティポリシーに対して肯定的な態度を持っていたとしても、職場の圧力の増加に伴い、これらはますます障害と感じられるようになり、ルール違反の増加につながりました。ストレスと状況要因は、参加者のセキュリティ関連行動に顕著な影響を及ぼしました。
したがって、安全な行動は知識の伝授だけでは生まれません。個人的なリスク評価と具体的な日常の状況に大きく依存しています。ユーザーは常にポリシーが定めるように行動するわけではありません。しばしば不本意ではなく、他の要因が優勢であるか、より重要と評価されているためです。野心的な目標、時間的プレッシャー、そして円滑なコラボレーションの必要性は、抽象的なセキュリティ要件と矛盾することが多いです。これらの利益相反は、セキュリティ、IT、および他の事業部門間の緊張をすぐに引き起こします。これは最終的にセキュリティ文化を危険にさらします。
セキュリティ責任者は、これに対抗するために3つのポイントで対処することができます。
1. ユーザーを理解する
CISOはまず、ユーザーが安全に行動しない理由を自問する必要があります。ここでは多くの要因が役割を果たします。例えば、ユーザーは脅威に気づいていない、安全な行動の利点を見ていない、またはセキュリティ対策を仕事の障害と感じている可能性があります。ユーザーの目標と利益相反がある可能性もあります。または彼らは時間的プレッシャーの下にあります。多くの場合、単に手段が不足しています。例えば、規定は供給業者および顧客とのセキュアなデータ交換を要求していますが、従業員にはそのようなデータ交換のためのプラットフォームが提供されていない場合、または環境内のモデルもありません。
セキュリティ対策の実装前に、異なるステークホルダーグループ(IT部門、技術部門、経営陣、管理、生産従業員)の矛盾した目標と優先事項を特定し、バランスを取ることが重要です。これは例えば、スタークホルダー分析の枠組み内で可能です。これは、関連するすべてのステークホルダーの好みを収集するためのビジネス情報学の方法です。セキュリティ責任者が仕事の現実とさまざまな領域の目標について知っている情報が多いほど、セキュリティ対策を適切に設計することがより成功します。これはより多くの受け入れにつながり、最終的には成功した実装につながります。
2. ユーザーを視野に入れたセキュリティポリシーの設計
不安全な行動はしばしばユーザーのせいにされますが、問題は多くの場合対策自体にあります。IT セキュリティ研究では、焦点はしばしばユーザーの個別行動にあります。例えば、安全な行動が人格特性に依存するかどうか。一方、セキュリティ対策が実際にどの程度働く現実に適合しているか、つまり日常的に受け入れられる可能性がどの程度あるかという問題は無視されています。
通常、すべての脅威に対して利用可能な複数のセキュリティ対策があります。しかし、実装、受け入れ、互換性、または複雑性の違いは、実務では考慮されないことが多いです。代わりに、セキュリティまたはIT部門は、技術的な側面のみに基づいて決定を下すことが多いです。
効果的なIT セキュリティポリシーを確立するには、これらは技術的に正しいだけでなく、従業員の観点からも合理的で実用的である必要があります。鍵は共感的なポリシーエンジニアリングにあります。セキュリティ要件は、理解でき、受け入れられ、日常の仕事の目標と互換性があるように設計されるべきです。これは、従業員が開発の早い段階で関与する場合、特に目標の対立と実際的な課題を含めて最も成功します。
その後のパイロットテストは、潜在的な落とし穴と障害を早期に特定し、対策を相応に調整するのに役立ちます。「初期導入者」、つまり革新に対して開かれている一連のユーザーから始めることが証明されており、その後、建設的なフィードバックを提供できます。これは大規模なロールアウト前に考慮されるべきです。このように、実際に機能し、日常的に実行されるセキュリティ文化が生まれることができます。
3. 意味のあるコミュニケーション: RESPECTアプローチ
現在、セキュリティ対策とポリシーは、ユーザーの仕事の現実を引き出さない方法で、そして従業員が関与し、動機付けられることを目指していない方法で通常、通信されています。例えば、命令、標準的なオンライン訓練、または従業員が真剣に受け取らないコミックのような遊ぶフォーマットについて。RESPECTアプローチでは、これはより良く機能します。同等レベルでのコミュニケーション、禁止と罰ではなく、に基づいています。
決定的な違いは、従業員は能力のある責任ある成人として扱われます。中心には、セキュリティ目標を見失うことなく、彼らのニーズと仕事の現実に対する共感的な見方があります。
セキュリティポリシーのコミュニケーションを成功させ、紛争を回避するためのいくつかのテクニックがあります。
戦術的共感: これは認識を作成し、信頼を強化し、従業員が聞かれていると感じさせ、セキュリティ関連情報を受け入れる準備ができています。
「No」ではなく「Help me to help you」 : セキュリティ要件を強制する代わりに、CISOは目的の「How」質問でユーザーに提案されたソリューションについて考えるよう促すことができます。ユーザーがセキュリティ要件の変更を希望する場合、セキュリティは単に「いいえ」と言うべきではありません。従業員がセキュリティ要件を遵守し、効率的に作業できるようにするために自分たちが何を提案しているかについての反問は意味があります。このように対話が生まれ、すべての関係者に対して受け入れ可能な妥協点を見つけることが容易になります。
灰色の理論ではなく実務経験: 直接経験に基づいてトレーニング概念は、参加者を現実的なシナリオに直面させます。例えば、フィッシング、ランサムウェア、USBアタックなどのサイバー攻撃。彼らは中小企業の典型的な職場を描く現実的な環境で、サイバー攻撃がどのように展開するかを直接体験します。このようにして、IT セキュリティに対する深く持続可能な理解が生まれます。講義の代わりに、人間と経験が中心にあります。
結論: 効果的なセキュリティ文化の形成者としてのCISO
多くのセキュリティ対策の低い成功は、ユーザーだけが原因ではありません。多くの場合、非現実的な要件、関与の不足、および不十分なコミュニケーションです。セキュリティチーフにとって、これは、教育と制裁に依存する代わりに、戦略的なパラダイムシフトが必要であることを意味します。彼らは一種の共感的ポリシーアーキテクトになるべきです。その理由は、セキュリティ戦略が技術的に機能するだけでなく、人間的にも説得力があります。彼はセキュアな決定が自然に日常的な仕事に適合する条件を形成します。これには、目標の対立に対する優れた感覚、同等レベルでのコミュニケーション、および企業内の共有価値としてセキュリティを設定する能力が必要です。(jm)
読む先端: コンプライアンス要件を満たす方法
さらに表示
