マクスウェル・アレス氏は、Alles TechnologyのCEO。資産運用業界向けサイバーセキュリティの第一人者である。
私たちはより高度なサイバーセキュリティシステムを構築し続けている。AIがAIを監視し、アラートが毎秒発せられている。しかし、決して変わらないことが1つある。人間が依然として脆弱性の源なのだ。人々が気にかけていないからではない。人間だからだ。疲れていたり、忙しかったり、ストレスを抱えていたり、あるいは緊急性を訴える誰かを助けようとしているだけなのだ。そして通常、そのようなときに誤ったメールが通過してしまう。
ベライゾンの2025年版データ侵害調査報告書は率直に指摘している。認証情報の窃取、ソーシャルエンジニアリング、設定ミスが依然として主流であり、サードパーティーの障害は30%と2倍に増加した。IBMの2025年データ侵害コスト報告書によると、平均的なインシデントのコストは444万ドルで、ヒューマンエラーが少なくとも26%のケースに関与している。
さらに厄介なことに、攻撃者はAIが私たち、あるいは私たちが信頼しがちな人物のなりすましに優れていることを発見した。最新のSANS Institute報告書によると、80%の組織が現在、ソーシャルエンジニアリングを人的関連の最大の脅威と考えている。AIがそれを強化する前から既に高かったことを考えると、これは重要な意味を持つ。
数年前、サイバー犯罪者は「侵入」しなければならなかった。今では主にログインするだけだ。多くの場合、無意識のうちに渡された認証情報を使って。この変化は、組織が技術的な管理だけに頼ることができないことを意味する。人々が責任を感じ、能力があり、迅速にミスを犯し、さらに迅速に回復できるほど安全だと感じる文化を構築しなければならない。
以下は、文化について語る企業と、実際に行動を変える企業を分ける実践方法である。
経営幹部の参加は任意ではない
私が数え切れないほど見てきたパターンがある。経営幹部がトレーニングを軽視したり、シミュレーションを形式的な演習として扱ったりすると、会社の他のメンバーも静かにそれに倣うのだ。
ある企業では、CEOがシミュレートされたフィッシングリンクをクリックしたことを公に認めたとき、信頼性が弱まるどころか、人々がより正直に関与するようになった。
トーンをリセットするための実践的な方法をいくつか紹介する。
• 経営幹部と取締役会メンバーにフィッシングシミュレーションと年次トレーニングへの参加を義務付ける。
• 最初のラウンドが混乱していても、完了率を社内で共有する。
• 何かが壊れたときだけでなく、戦略的議論にCISO(最高情報セキュリティ責任者)を招く。
リーダーシップのモデリングは、他のすべての変化を信頼できるものにするレバーである。
トレーニングの再考──ゲーミフィケーションは機能する
従来のサイバーセキュリティトレーニング、つまり長い動画、陳腐なクイズ、コンプライアンスチェックリストは、ほとんど定着しない。人々は「次へ」をクリックし、モジュールを終了し、すぐに古い習慣に戻る。
2024年のJournal of Business Studies Quarterlyの研究は、異なるアプローチを提供している。研究者たちは、シミュレーション、ポイント、報酬、分析を使用した正式なゲーミフィケーションモデルを設計した。彼らの結論は何か。この方法は「組織構造に組み込まれた回復力のあるサイバー文化を育成できる」というものだ。
Security Quotientの報告も同様の知見を示している。エンゲージメントが急上昇し、従業員はトレーニング中だけでなく、重要なときにより安全な決定を下すようになる。
明確にしておくと、ゲーミフィケーションはサイバーセキュリティをビデオゲームに変えることではない。進歩、認識、仲間との比較といった真の心理的推進力を使用して、コンプライアンスサイクルよりも長く続く習慣を構築することだ。
企業がこれを実現するためのいくつかの方法を紹介する。
• 小規模な月次チャレンジを実施する(フィッシングの発見、MFA導入、パスワード改善)。
• チームミーティングで「セキュリティチャンピオン」を強調する。
• ミスを避けるだけでなく、疑わしい活動の迅速な報告に報酬を与える。
安全な行動を可視化し、社会的にサポートすれば、人々はそれに応える。
継続的なマイクロラーニングの実施
脅威は絶えず進化しているため、年に1回のトレーニングは、年に1回歯を磨くのと同じくらい意味がない。コンプライアンスボックスにチェックは入るが、保護にはならない。
短く頻繁な学習の集中は、成人が情報を保持する方法にはるかに適している。トレーニングを定着させるために実装できる実践的な習慣をいくつか紹介する。
• 人々が憤慨せずに完了できる月次3〜5分のマイクロレッスン
• 誰かが疑わしいリンクと対話したときのコンテキストトリガー型リフレッシャー
• 実際のインシデントや新たな脅威に関連した四半期ごとのコンテンツ更新
華やかではないが、機能する。
非難のない報告文化の促進
回復力のある組織と脆弱な組織の最大の違いの1つは、ミスへの対応方法である。高パフォーマンス文化では、人々は恥ずかしいと感じても早期に報告する。リーダーシップが非難を修正するよりも問題を修正することを重視していることを知っているからだ。
より懲罰的な文化では、ミスは埋もれる。通常、手遅れになるまで。役立つこと。
• 迅速な報告が組織全体を保護することを従業員に明確に(そして繰り返し)伝える。
• 匿名化された「ニアミス」を社内コミュニケーションで共有する。
• 人々が不確かに感じるときのために匿名報告チャネルを提供する。
サイバーレジリエンスは、正直さが罰せられるのではなく報われる環境で成長する。
ベンダーとサードパーティーの関与
企業は社内ですべてを正しく行っても、ベンダーが行わなかったために侵害される可能性がある。ベライゾンのDBIRは、サードパーティー侵害が30%であることを示している。この数字は、リーダーがベンダーマップが実際にどれほど広範囲に及ぶかを見るまで驚かせる傾向がある。
取るべき現実的なステップ(理論書のバージョンではない)。
• ベンダーにベースライン管理を満たし、年次証明を提供することを要求する。
• ベンダー契約にインシデント報告のタイムラインを含める。
• 高リスクパートナーと共同でテーブルトップ演習を実施する。
セキュリティ文化はファイアウォールで止まることはできない。環境に触れるすべての人に拡張しなければならない。
サイバー意識の高い文化に向けた経営幹部の最初の90日間
最初の3カ月で進歩を遂げるために、大規模な組織再編は必要ない。必要なのは、目に見える意図とフォロースルーである。
• サイバーセキュリティが中核的なビジネスリスクであることを声に出して述べることで、トーンを設定する。
• トレーニングを早期に完了し、驚いたことについてオープンに話すことで、模範を示す。
• サイバーKPIがリーダーシップ評価とボーナス構造に表示されるようにインセンティブを調整する。
• 技術スタックだけでなく、人的側面に資金を提供する。
• 重要なことを測定する。報告率、クリック率、ベンダーリスクスコア、レジリエンス指標。
これは、ほとんどのリーダーが過小評価する部分である。文化は、組織が真に価値を置くものの繰り返しのシグナルを通じて変化する。
結論
もちろん、技術は依然として重要である。しかし、真の差別化要因は、組織が人々を避けられない欠陥ではなく、セキュリティエンジンの一部として扱うかどうかである。従業員が準備され、サポートされ、信頼されていると感じるとき、彼らはより迅速に対応し、より多く報告し、高められた意識でビジネスを守る。
