多大な予算とリソースがサイバーセキュリティに投入されているにもかかわらず、侵害は相変わらず頻繁に発生しており、その影響力も増しています。これらのインシデントを分析していく中で、共通する気づきを得ることができました。それはテクノロジーによる防御能力を損なわせていたのは、「人の行動」であるということでした。 例として、従業員が認証情報を攻撃者に渡してしまう、不正なリクエストを許可してしまう、なりすましメールに引っかかる、攻撃者の望みどおりマルウェアを実行してしまう、などがあります。
世界経済フォーラムによると、セキュリティ侵害の95%が人の行動に起因しています。組織全体におけるセキュリティ意識の向上が不可欠であることは明らかです。そのための取り組みは長年行われてきましたが、まだまだ十分ではありません。
ここでは、セキュリティ プログラムの有効性を妨げるような行動をいくつかご紹介します。貴社が実践している行動の中で該当するものがあるかもしれません。また、より重要なこととして、これらを是正する方法もあわせてご紹介します。
間違い1:セキュリティ プログラムの名付け方が正しくない
名前選びは簡単なように見えて、実はセキュリティ プログラムにあまり効果的でない名前を選んでいる場合がよくあります。
私たちは、自分の組織におけるセキュリティ意識の向上を目指して、「セキュリティ意識向上プログラム」を立ち上げます。しかしこれは、私たちが本当に求めているものではありません。私たちの本当の目標は、ただ意識を向上させることではなく、行動を変えることです。プログラムを「セキュリティ意識向上」と名付ければ、本当の目標からブレることになります。例えば、人々に禁煙を守ってもらうことを目標とする取り組みなら、「喫煙リスク注意喚起キャンペーン」とは呼ばないはずです。
解決方法は簡単です。プログラムの名前を変えればいいのです。 達成したい成果を定め、それに応じてプログラムの名前を決めましょう。「セキュリティ行動変容プログラム」、「セキュリティ文化構築プログラム」などが考えられます。従業員は、この新しいプログラム名を見るたびに、そもそも何を達成すべきなのかを思い出します。このちょっとした工夫が、驚きの違いをもたらします。
間違い2:意識向上を重ねれば文化が構築される、と考えること
2つ目の間違いは、1つ目の延長上にあります。従業員が受ける意識向上トレーニングの数を増やせば組織の文化を変えることができる、と考えられがちですが、それは間違いです。意識が高いことと文化は別のことです。
私が使用しているモデルとして、「ABC」成熟度モデルがあります。これは、「意識(Awareness)」、「行動(Behavior)」、「文化(Culture)」という、3つの段階を意味します。Aを土台としてBが、Bを土台としてCが構築されます。ここで重要なのは、段階から段階へと移行するには、そのための条件をクリアする必要があるということです。
例えば、「意識」段階をある程度進めたとしましょう。「行動」段階へと移行するには、サイバーセキュリティの不備が個人および業務にもたらしうる重大な影響を従業員が理解することに、フォーカスを切り替える必要があります。高い「意識」に動機付けが加われば、従業員は正しい「行動」を示すようになるでしょう。 (このシンプルなアプローチは科学的根拠に基づいています。詳しくは、BJ Fogg博士の行動モデルをご参照ください。)
「行動」の段階がある程度進めば、次に目指すのは「文化」の段階です。「文化」の段階への移行に必要なのは、「うちの会社は全員、セキュリティ意識が高い」という共通認識を根付かせることです。ここで、私が「認識」という言葉を用いていることに注意してください。最初は、認識と現実がずれていてもかまいません。認識ができていれば、やがて現実が追いつきます。
この認識を生み出すには、コミュニケーション プランを調整することです。セキュリティに関するメッセージが、経営幹部、受付係、特に中間管理職やラインマネージャーからといった、組織の至る所から届くようにしなければなりません。 つまり、 情報セキュリティ最高責任者(CISO)を除くほぼすべての人からこうしたメッセージが届くことを、常態としなければなりません。
これにより、従業員一人ひとりが、「自分の周りの人々は皆セキュリティ意識が高い」と認識するに至ります。そして、自分もそのように行動しなければ、というピア・プレッシャーが生まれます。こうして文化が醸成されていきます。
間違い3:主な動機付けとして「罰」を用いること
前述の成熟度モデルにおいて「行動」段階へ進むための重要ステップは、行動変容への動機付けです。動機付けにはさまざまな方法があります。その一つは、従業員がミスをした場合や、セキュリティテストにパスできなかった場合に、罰を与えることです。
多くのセキュリティ担当者は、この問題についてはっきりした意見を持っています。罰という脅しに頼ることは何としても避けるべきだと考える人もいれば、早くて便利な、動機付けの主要な手段として用いる人もいます。どちらも誤りで、最善の方法はその中間にあります。
「ミスを見つけては罰することばかり考えている」ように見えるセキュリティチームは、大多数の従業員の支持を失うことでしょう。セキュリティチームは職務を全うしているだけです。しかしそのために、今やいかなる組織にもなくてはならない機敏性、柔軟性、現実性が損なわれてしまう可能性があります。そうなると、従業員はもはや、今ある懸念や脆弱性、あるいは改善案について、セキュリティチームに相談を求めてくることもなくなるでしょう。誰かを一回罰するたびに、従業員とセキュリティチームを隔てる壁が高くなっていきます。
しかし、私がこれまで見てきた、 フィッシング シミュレーション テストにおいてクリック率が最も低かった組織は、「罰する」モデルと、「話しやすいセキュリティチーム」モデルの、両方を展開していました。一体どうやったのでしょうか?すべてはタイミングが鍵を握ります。
最初に「重大な影響」モデルを実施する際は、正しい行動を取った人をねぎらうことに重点を置き、「行動」段階から「文化」段階へと移行するタイミングで、「罰する」モデルの実施を検討するというものです。
この時点で、セキュリティチームは会社全体からの確固たる支持を確保しています。そこで最終仕上げとして「罰する」モデルを実施します。従業員の大部分がすでに受け入れた文化をまだ受け入れていない、遅れている少数の従業員を、これによって動機付けします。「罰する」モデルには違いありませんが、受け取られ方がまったく異なります。
まとめ
アイデンティティが新たな攻撃対象領域となっており、「人」がサイバー防御の基盤となっている昨今、セキュリティ文化は、すべてのCISOが優先すべき不可欠なコントロールとなっています。本記事で挙げた3つの間違いに対処することにより、セキュリティ プログラムを大きく変えることができます。それによって従業員の行動の変化が促進され、サイバーセキュリティ侵害のリスクの低減につながります。
プルーフポイントのセキュリティ意識向上トレーニングの詳細をご覧になり、行動変容の推進を今日から始めましょう。