ビジネスリーダーとして、リスク管理は仕事の一部です。しかしPwCによると、サイバー攻撃に対して完全な耐性を持つと回答している企業は世界でわずか2%にすぎません。データ侵害やその他のデジタル攻撃は、リーダーが十分な準備をしていなければ、企業活動を完全に妨害し、顧客や従業員のデータを露出させ、企業の評判を台無しにする力を持っています。同コンサルティング会社の調査によると、地政学的な不安定性を受けて、60%の企業がサイバーリスク投資を増加させているのも驚くことではありません。
しかし、企業が最も堅牢なファイアウォールやセキュリティソフトウェアに投資したとしても、こうした侵害の原因となるのは多くの場合、人的ミスです。つまり、デジタルリスクは商業リスクと同様に優先度の高い課題である必要があります。例えば、2019年のキャピタル・ワン銀行では、ファイアウォールの設定ミスにより、ハッカーが侵入し、1億人以上の顧客の個人データが露出しました。サイバーセキュリティは技術的な問題だけでなく人的な問題でもあり、サイバーインシデントの約60%は、誤ったメールのクリックやソフトウェアの更新忘れといった単純な人的ミスに起因しているのです。ChatGPTなどの生成AIツールの採用が急速に増加する中、ビジネスインフラを保護する必要性はさらに高まっています。
このため、企業内で全員が「データ管理者」となる文化を根付かせることが不可欠であり、これは採用から始まります。誰かを雇用する際、その人がもたらす潜在的なリスクと、体現できる潜在的な防御も同時に雇うことになります。レジリエンスはもはやニッチな問題ではなく、全従業員にとっての必須事項です。そのため、新しい役職の採用時に関連するスキルや経験を優先するのは当然ですが、候補者のデジタルリテラシーや機密データの取り扱い方も考慮することが重要です。さらに、入社時研修の一環としてリスク意識を取り入れ、従業員のライフサイクル全体を通じてサイバー意識に関するコミュニケーションが継続的に行われるようにしましょう。
データ管理の文化とは、従業員全員がデータ保護において役割を担っていることを理解し、それに応じて行動することを意味します。これは命令されるからではなく、自らが責任を持ち、結果を理解しているからこそ実現します。リーダーはリスクについてオープンに話し、デジタル衛生を実践し、良い行動を評価することで、この文化の基調を設定します。トレーニングは「ポリシーを一度読む」だけでなく、定期的なマイクロセッション、シミュレーション演習、目に見える強化へと進化させるべきです。例えば、メールでフィッシング攻撃を発見して報告した人は称賛されるべきです。同僚がITシステムの悪用される可能性のある抜け穴を発見した場合、黙っているのではなく、安心して誰かに警告できるべきです。
組織にビジネス目標と評判に関する集団的責任の文化があれば、サイバーセキュリティ文化の構築と維持がはるかに容易になります。その反対は、人々が怠惰で不注意になり、技術チームやHRが自分たちを守るべきだと感じたり、忙しすぎるか単に気にしないためにリスクについて学ぶことを忘れたりする環境です。典型的な例は、業務を効率化し、最終的に従業員の生活を楽にする新しいシステムを企業が導入する場合です。確かに、慣れるまでの苦痛な期間はありますが、それを過ぎれば、タスクはより効率的で安全になるはずです。「いつもこうやってきた」と言う従業員は、効果的なデータ管理者や評判の守り手になる可能性が最も低いでしょう。
人間として、私たちは協力することで成長します。その一体感は、ビジネスの成長を助ける接着剤であるだけでなく、増加するサイバー脅威から保護を構築する上でも不可欠です。ハッカーが行動を操作するために心理的または社会的エンジニアリングの手法をますます駆使する中、全員が同じ認識を持ち、何かが怪しいと感じたら「ノー」と言ったりクリックしなかったりする必要性を理解することが重要です。ポリシーだけでは企業を守るには不十分です。カジュアルな好奇心や「最悪何が起こるの?」というアプローチよりもセキュリティを優先するマインドセットの転換が必要です。その基調はトップから来なければならず、リーダーが良い習慣のモデルとなるべきです。
すべての従業員がデータ管理者になるとき、組織は攻撃が蔓延する時代に重要な防御層を獲得します。結局のところ、物語を変えるのはたった一つの人間の瞬間であり、企業はその瞬間が脆弱性ではなく警戒心の瞬間となるようにする必要があります。
