20年以上にわたり、より成熟したセキュリティアーキテクチャの開発を進めてきた結果、組織は厳しい現実に直面しています。それは、ツールや技術だけではサイバーリスクを軽減するには不十分だということです。テクノロジースタックが高度化・高機能化するにつれ、攻撃者の焦点も変化してきました。彼らはもはやインフラの脆弱性だけを狙っているわけではありません。むしろ、人間の行動を悪用するケースが増えています。現代の多くの侵害において、最初の攻撃経路はゼロデイ技術の悪用ではなく、人間の脆弱性を突くものです。
このデータはよく記録されています。過去5年間にわたり、Verizonのデータ侵害調査レポートは、人間のリスクが世界的な侵害の最大の要因であることを示しています。最新のレポートでは、2024年の全侵害の約60%に人間の要素が関与していることが判明しました。しかし、この文脈でよくある誤解に注意することが重要です。「人が最も弱い部分である」という表現は、侵害が発生した際に従業員に責任があることを示唆しています。しかし、ほとんどの場合、それが問題ではありません。ユーザーがセキュリティに失敗しているのではなく、セキュリティ環境がユーザーを失敗させているのです。多くの場合、セキュリティは不必要に複雑化されています。コンセプトは混乱を招く技術的な言葉で伝えられ、ポリシーは一般社員ではなく監査人や弁護士向けに設計されています。
したがって、人間のリスクを効果的に軽減するには、単に技術を追加したりポリシーを強化したりするだけでは不十分です。安全な人間の行動を簡素化し、支援する強固な組織のセキュリティ文化を育むことが重要です。セキュリティ文化がセキュリティ技術と同じ優先度と投資で扱われない限り、人間のリスクはどんなに優れた技術的プログラムであっても足を引っ張り続けるでしょう。
セキュリティ文化の定義#
すべての組織にはすでにセキュリティ文化が存在します。重要なのは、それが本当に望むセキュリティ文化かどうかということです。
セキュリティ文化とは、組織全体で共有されるサイバーセキュリティに関する認識、信念、態度のことです。人々はセキュリティが重要だと感じているか?自分に責任があると感じているか?自分が標的になりうると考えているか?この信念構造が強ければ、行動もそれに従います。しかし、それが欠如している場合、たとえばセキュリティが他人の仕事だと見なされたり、生産性の障害だと考えられたりすると、リスクは指数関数的に高まります。
問題は、人々が組織を守ることに無関心なのではなく、セキュリティが彼らの働き方に組み込まれておらず、むしろ回避すべきものとして上乗せされていることです。人々に安全な行動をとってもらいたいなら、その行動を支援する環境を作る必要があります。従業員は、環境が報酬を与え、可能にし、期待するものに基づいて行動を調整します。セキュリティも同じです。セキュリティ文化を強化するには、人々の認識や意思決定に影響を与える日常の環境設計に注力すべきです。
実際には、セキュリティ文化の最大の推進要因である4つの要素、すなわちリーダーシップのシグナル、セキュリティチームの関与、ポリシー設計、セキュリティトレーニングを評価することを意味します。
- リーダーシップのシグナル:文化はトップから始まります。リーダーがセキュリティを優先事項として予算化し、ボーナスに結び付けたり、組織図でCISOの地位を高めたりすれば、明確なメッセージとなります。そうでなければ、どんなに口先だけで語っても認識は変わりません。
- セキュリティチームの関与:文化を形成するのは経営陣だけではありません。人々が日々セキュリティと接する体験は、しばしばセキュリティチーム自体に左右されます。セキュリティチームは親切か敵対的か?明確か混乱しているか?支援者か妨害者か?すべてが重要です。
- ポリシー設計:ポリシーは常に接点となります。技術的すぎたり、分かりにくかったり、摩擦が多い場合、信頼を損ないます。シンプルで直感的なら、セキュリティが実現可能だという認識を強化します。
- セキュリティトレーニング:これはプログラムで最も目立つ部分ですが、最も誤解されがちでもあります。トレーニングが退屈で古く、無関係なら、セキュリティが本当に重要ではないというシグナルになります。魅力的で実用的なら、行動を促す信念を育てます。
これら4つの分野は、文化を測定するためのフレームワークにもなります。従業員に、リーダーシップ、セキュリティチーム、ポリシー、トレーニングについてどう考え、どう感じているかを尋ねましょう。その答えが、文化が味方しているのか、それとも敵対しているのかを教えてくれます。
セキュリティ文化の4つのレバーを整合させる#
経営層の支援が雰囲気を作るかもしれませんが、セキュリティ文化を定義するのは従業員が日々直面する現実です。もしその実体験がリーダーシップのメッセージと一致していなければ、信念は崩れます。セキュリティが優先事項だと聞かされても、ポリシーが不明確で、トレーニングが現実離れしており、セキュリティチームが堅苦しく近寄りがたいなら、信頼はすぐに失われます。
だからこそ、リーダーシップ、セキュリティチームの関与、ポリシー、トレーニングという4つの文化的レバーの整合が不可欠です。リーダーシップがリソースや責任を通じてセキュリティを明確に優先すれば、戦略的な重要性を示すシグナルになります。しかし、そのメッセージはセキュリティチームが従業員とどう関わるかによって補強される必要があります。従業員がミスで罰せられたり、サポートを求めても門前払いされたりすれば、組織防衛への積極的な参加意欲は低下します。
ポリシー設計も同様に重要な役割を果たします。ポリシーが長く、技術的で、実用的でなければ、従業員はリスクを招くと分かっていても利便性を優先しがちです。よりシンプルで直感的なガイダンスは、ビジネスの成果を損なうことなく安全な行動を取りやすくします。トレーニングも同じ原則です。古くて一般的な内容では、単なる形式的なものになってしまいます。しかし、関連性があり役割に特化した内容なら、セキュリティが仕事の一部であることを強く印象付けます。
セキュリティ文化を実践に移す準備はできていますか?#
この秋、SANS Orlando Fall 2025で、私が担当する新しくアップデートされたLDR521: Security Culture for Leadersコースにぜひご参加ください。このコースでは、現状の文化を評価し、変革の最大の機会を特定し、安全な行動が当たり前となる環境を構築するためのステップバイステップのフレームワークを提供します。実践的なツール、実例、そしてチームに持ち帰れるリーダー向けプレイブックを手に入れることができます。
SANS Orlando Fall 2025の登録はこちら。
注:この記事はSANS Instituteのシニアインストラクター、ランス・スピッツナー氏による寄稿です。彼の経歴や実績についてはこちらをご覧ください。
翻訳元: https://thehackernews.com/2025/08/why-your-security-culture-is-critical.html