共感とITセキュリティの融合：実践的なコンプライアンスへの道

earthphotostock – shutterstock.com

多くの企業では、ITセキュリティポリシーが従業員にとって障害や現実的でないものと受け止められ、抵抗に遭っています。これにより導入が難しくなり、効果が損なわれ、セキュリティ部門と他部門との協力関係にも悪影響を及ぼします。サイバーセキュリティはパートナーではなく、しばしばブレーキ役と見なされることが多く、これは重大なセキュリティリスクとなります。CISO（最高情報セキュリティ責任者）にとっては、技術的に正しいポリシーだけでなく、日常での受容性が何より重要です。共感的なポリシーエンジニアリングと戦略的なセキュリティコミュニケーションによる新しいアプローチが、持続可能なセキュリティ文化の醸成を促します。

ITセキュリティ：業務負荷と社会的影響要因

多くのIT部門では、利用者がセキュリティ規則の遵守にあまり意欲的でないと考えられています。企業はルール遵守を強制するため、制裁や研修に頼りがちです。しかし、セキュリティ設計がポリシー遵守の行動にどう影響するかを調べた2日間の実験では、参加者は当初セキュリティポリシーに前向きな姿勢を示していましたが、業務負荷が増すにつれてそれらを障害と感じるようになり、違反が増加しました。ストレスや状況要因が、参加者のセキュリティ関連行動に大きな影響を与えたのです。

安全な行動は知識の伝達だけでは生まれず、個々のリスク認識や日常の具体的な状況に大きく左右されます。利用者は必ずしもポリシー通りに行動するわけではありません。それは意欲の欠如ではなく、他の要因が優先されたり、より重要と判断されたりするためです。高い目標、時間的プレッシャー、円滑な協力へのニーズは、しばしば抽象的なセキュリティ規則と対立します。こうした利害の衝突は、セキュリティ、IT、他部門間で緊張を生みやすく、最終的にはセキュリティ文化を脅かします。

セキュリティ担当者は、これに対処するために3つのポイントからアプローチできます。

1. 利用者を理解する

CISOはまず、なぜ利用者が安全な行動を取らないのかを問い直すべきです。ここには多くの要因が関わります。たとえば、利用者が脅威を認識していない、安全な行動のメリットを感じていない、あるいはセキュリティ対策が業務の妨げになると感じている場合があります。利用者の目標とセキュリティ目標が衝突していたり、時間的なプレッシャーがあることも。単に手段が不足している場合も多く、例えば規則でサプライヤーや顧客との安全なデータ交換を求められても、そのためのプラットフォームが用意されていない、または身近に手本となる人がいないなどです。

セキュリティ対策を導入する前に、IT部門、技術部門、経営陣、管理部門、製造現場の従業員など、さまざまな利害関係者の矛盾する目標や優先順位を特定し、調整することが重要です。これは、関係者全員の意向を把握するための経営情報学の手法であるステークホルダー分析などで実現できます。セキュリティ担当者が各部門の業務実態や目標を深く理解するほど、より適切なセキュリティ対策を設計でき、受容性が高まり、最終的な成功へとつながります。

2. 利用者視点でセキュリティポリシーを設計する

安全でない行動はしばしば利用者の責任とされますが、実際には対策自体に問題があることも多いのです。ITセキュリティ研究では、利用者の個人的特性が安全行動にどう影響するかに注目しがちですが、そもそもセキュリティ対策が業務実態にどれほど合っているか、つまり日常で受け入れられる可能性については軽視されがちです。

あらゆる脅威には複数のセキュリティ対策が考えられますが、実際には手間、受容性、互換性、複雑さなどの違いが考慮されないまま、技術的観点だけでITやセキュリティ部門が決定を下すことが多いのです。

効果的なITセキュリティポリシーを確立するには、技術的に正しいだけでなく、従業員の視点から見て合理的で実践的である必要があります。その鍵は共感的ポリシーエンジニアリングにあります。セキュリティ規則は分かりやすく、受け入れられ、日々の業務目標と両立できるよう設計されるべきです。そのためには、従業員を早い段階から開発プロセスに巻き込み、目標の衝突や実務上の課題も取り入れることが最善です。

その後のパイロットテストは、潜在的な障害や問題点を早期に発見し、対策を調整するのに役立ちます。特に「アーリーアダプター」と呼ばれる新しい取り組みに前向きな利用者グループと共に始め、建設的なフィードバックを得るのが効果的です。このフィードバックは本格展開前に必ず反映させましょう。こうして、実際に日常で根付くセキュリティ文化が生まれます。

3. 意味のあるコミュニケーション：RESPECTアプローチ

現在、セキュリティ対策やポリシーは、従業員の業務実態を十分に考慮しない形で伝えられることが多く、従業員が関心を持ったり動機づけられたりすることを目的としていません。たとえば、指示や標準的なオンライン研修、あるいは従業員が真剣に受け止めないコミックのような遊び心のある形式などです。これに対し、RESPECTアプローチは、禁止や罰則ではなく、対等なコミュニケーションを重視します。

決定的な違いは、従業員を有能で責任ある大人として扱う点です。中心にあるのは、従業員のニーズや業務実態に共感的な視点を持ちながら、セキュリティ目標を見失わないことです。

セキュリティポリシーの伝達を成功させ、対立を回避するためのテクニックはいくつかあります。

戦術的共感：これは従業員の承認欲求を満たし、信頼を強化し、従業員が意見を聞いてもらえたと感じ、セキュリティ関連情報を受け入れる準備ができるようにします。

「あなたを助けるために協力してほしい」という姿勢：セキュリティ規則を一方的に押し付けるのではなく、CISOは「どうすればよいか」という質問で利用者に提案を考えさせることができます。利用者がセキュリティ規則に変更を求める場合、セキュリティ部門は単に「ダメ」と言うのではなく、従業員自身に、規則を守りつつ効率的に働くための提案を求めるのが有効です。こうして対話が生まれ、関係者全員が納得できる妥協点を見つけやすくなります。

机上の理論より実践経験： 体験型トレーニングは、参加者を現実的なシナリオ、たとえばフィッシングやランサムウェア、USB攻撃などのサイバー攻撃に直面させます。中小企業の典型的な職場を再現したリアルな環境で、サイバー攻撃の流れを実体験することで、ITセキュリティへの深く持続的な理解が生まれます。教訓よりも、人と体験が中心となります。

まとめ：CISOは効果的なセキュリティ文化の設計者に

多くのセキュリティ対策がうまくいかないのは、利用者だけのせいではありません。非現実的な規則、関与の不足、不十分なコミュニケーションが原因であることが多いのです。セキュリティ責任者に求められるのは、教育や制裁ではなく、戦略的なパラダイムシフトです。CISOは、技術的に機能するだけでなく、人間的にも納得できるセキュリティ戦略を設計する「共感的ポリシーアーキテクト」になるべきです。安全な判断が自然と日常業務に溶け込む環境を整えることが求められます。そのためには、利害の衝突を見抜く力、対等なコミュニケーション、そしてセキュリティを企業の共通価値として根付かせる能力が必要です。（jm）

関連記事：コンプライアンス要件を満たす方法