近年、セキュリティ意識向上をとりまく状況について、セキュリティ担当者、アナリスト、ベンダーの間で盛んに議論が交わされ、セキュリティ意識向上プログラムの有効性を測る基準、方法、理由が模索されています。
さまざまな規模や複雑さの顧客との数百回の対話から、従来のコンプライアンスベースの セキュリティ意識向上トレーニング方法では十分でないことは明らかになっています。そのため、トレーニングの有効性を測定する方法も同様に十分ではありません。
目標が、従業員の行動や振る舞いに関連したサイバーセキュリティ リスクを低減することであれば、持続的な行動変化を推進し、セキュリティ意識の高い文化を育成するために、セキュリティ意識向上の枠にとどまっていてはなりません。
従来のセキュリティ意識向上プログラムの課題
従来のセキュリティ意識向上プログラムは、企業のサイバーセキュリティの取り組みとして、長らく定番となっています。これらが効果的でない理由は何でしょうか?
画一的なアプローチ
従来のプログラムの多くは、毎年、全般的な同じコンプライアンス主導型のトレーニング コンテンツを使用しています。このアプローチでは、組織内のさまざまな役割の従業員が遭遇しうる、それぞれ特有の実際の状況に対処できません。
画一的な手法では、従業員が真剣に取り組まなかったり、従業員にとって関連性の低いものになってしまうおそれがあります。かといって、従業員に合わせてアプローチを調整しようとすれば、リソース不足のセキュリティチームにとっては特に負担となる可能性があります。
実例との関連性が低い
従来のプログラムは知識を与えてくれるかもしれませんが、多くの場合、こうした知識を持続的な行動変化へと変えることは簡単なことではありません。 プルーフポイントの「2024 State of the Phish」レポートによると、従業員の3分の2以上(68%)が、リスクがあると知りながらこうした行動を取っています。しかも、企業の99%がセキュリティ意識向上プログラムを実施しているにもかかわらずです。
ほとんどの意識向上プログラムは、いくつかの動画を視聴し、ポリシーを読むよう利用者に求めるといった、スカイダイビングのやり方を教えるようなものです。しかし、利用者がいざヘリから飛び降りようとすれば、混乱してしまいます。風や空気が薄い場所には慣れておらず、パラシュートを開くタイミングについても不安です。
同様に、セキュリティに関する受動的なトレーニングのみが提供されている従業員にとって、実際の脅威に直面した際に、学んだ知識を適用するのは簡単ではありません。従業員は、セキュリティの概念を理解しているかもしれませんが、日常業務の中で一貫して心がけることは困難です。
用語を変えるだけでは十分ではない理由
顧客との対話の中で、新しい用語を耳にすることがあります。それは、「人的リスク管理」です。
このアプローチに移行したいと考えている顧客は多く、リスクを測定したいが、何を測定し、どのように始めたらいいのかわからないと述べています。さまざまなベンダーやソースからデータを取得し、これらを有意義かつ実用的なものにする複雑さが課題となっています。顧客はまた、オートメーションやゲーミフィケーションなどの要素を用いて従業員のエンゲージメントを高めたいと述べています。
これらは素晴らしいツールです。また、リスクを理解し、従業員とより効果的にやり取りする方法を見つける必要があることは紛れもない事実です。しかし、これらはただのツールにすぎず、行動変化を促す方法を理解するには十分ではありません。これを理解するには、行動科学の原理と手法を掘り下げる必要がありますが、一般的にほとんどのサイバーセキュリティ チームはこのためのトレーニングを受けていません。
一部の顧客、アナリスト、ベンダーは、セキュリティ意識向上の慣行を「人的リスク管理」と、その意味を理解することなく呼んでいます。この用語は紛らわしく、ネガティブな印象を与えるものです。人が「リスクのある」ものとし、「管理」すべきだとしています。これは、問題なのは従業員であるといった考えを不動にするものであり、包摂性を育む代わりに、「組織対従業員」の考え方が助長されてしまいます。
プルーフポイントでは、従業員が何を行い、何を知り、何を考えているかについて理解することにメリットがあると考えています。このような理解はまた、持続的な行動変化を促進するプログラムを構築するために定量化する必要があります。
意識が基盤となる
プルーフポイントでは、顧客が人的リスク管理について尋ねることはポジティブな傾向であると考えています。用語自体はネガティブであったとしても、セキュリティの行動と文化のプログラム、プログラムにおける意識の役割について幅広く、プルーフポイントが顧客と対話できる機会となります。
意識が重要な基盤となります。意識をもつことで、従業員は、潜在的脅威を理解して基礎知識を手に入れ、ベストプラクティスを学び、サイバーセキュリティを日常業務において心がける重要性を知ることができます。
プルーフポイントでは、意識の基盤をないがしろにするつもりはありません。むしろ、組織内の個人の特定の役割や責任に合わせて調整されたコンテンツを組み込むことで、基盤を進化させる必要があります。この方法により、さまざまな役割・役職の従業員が、それぞれ固有のサイバーセキュリティ課題に直面していることが認識できます。効果的に安全な行動を採用し、脅威に対抗するためには、役割、脅威、権限に固有の知識が必要です。
関連性の高い脅威教育を、小さなグループに分けて段階的に、以下のようなさまざまな形態で提供しながら、既存のプログラムを補完することをおすすめします。
- インタラクティブなシミュレーション
- ゲーム型体験
- 継続的な強化キャンペーン
プルーフポイントでは、従業員がより安全な選択をできるよう促すために、組織がよりリアルタイムのガイダンスを提供できる方法が見つけられるよう顧客をサポートしています。プルーフポイントでは、部門の枠を超えた従業員グループによる関わりや参加を推奨しています。ソリューションの一環としてこうしたグループを含めることが、豊かな創造性とエンゲージメントを推進することを発見できれば、喜ばしい驚きとなるでしょう。
頂点に立つ企業文化
「企業文化は戦略に勝る」といった考え方は、セキュリティの行動と文化のプログラムに大きく関連しています。この考え方は、企業文化が、セキュリティ イニシアチブの成功において重要な役割を担っていることを強調するものです。文化は、セキュリティ行動が築かれる基礎を形成します。最も入念に設計されたセキュリティ戦略であっても、セキュリティを重んじ、優先する文化によって支えられていなければ、失敗します。
セキュリティ戦略は、企業の資産を保護するための計画と目標をまとめたものです。しかし、こうした戦略をどのように実装するかは、文化で決まります。どのようなベンダーや技術を選んでも、企業がセキュリティ意識の高い文化を完全に取り入れていなければ、従業員の持続的な行動変化を実現する能力は縮小してしまいます。
セキュリティ意識の高い文化は、上層部から始まり、持続されます。 ここでの上層部とは、情報セキュリティ最高責任者(CISO)にとどまりません。また、プログラムを優れたものにするには、セキュリティチームだけでなく、企業の主要パフォーマンス指標を用いることも重要です。このような指標は、恐怖よりも説明責任を推進する、部門横断的なチームによって開発されるものです。これらのプログラムはまた、以下のような特徴があります。
- 自主的な参加を促進する
- 従業員を問題としてではなく、解決策として考慮する
- 運用面や戦略面での目標に関連したサイバーセキュリティ指標を使用する
また、優れたプログラムを導入できれば、サイバーセキュリティ インシデントの低減に貢献する従業員の活動によって達成できる以下の成果にも直接現れます。
- 企業の全体的なリスク対策を改善する
- 従業員の生産性を向上させる
- 収入やコストの予測や戦略的目標の達成に作用する
これは実現にいたるまで気が遠くなるような道のりに思えるかもしれませんが、今すぐ開始できる方法があります。GartnerのPIPEフレームワークは、セキュリティ意識向上から、持続的な行動変化へと進む上で役立つものです。これはまた、セキュリティ意識の高い文化を推進する上でも役立ちます。
まとめ
持続的な行動変化に向かって進化していくためには、経営幹部による強力なサポート、足並みを揃えた目標、創造性、適切なツールが必要です。専門スカイダイバーになるための近道などないのと同じように、目標達成にも、慣行、ガイダンス、効果的な手法が必要です。
プルーフポイントでは、既存の顧客だけでなく、未来の顧客のニーズにも応えられるように、ソリューションを継続的に進化させています。