OriはTeramindのCROであり、AIとデータドリブンなGTM戦略、そしてオペレーショナル・エクセレンスを通じて、企業が安全にスケールできるよう支援している。
毎週のように、潜在的な内部脅威の危機を懸念する経営幹部と話している。彼らは監視ソフトウェアの導入や、より厳格なアクセス制御の実装、高度な検知システムの構築に踏み切る準備ができていることが多い。だが、組織文化、マネジメントのあり方、従業員エンゲージメントのスコアについて尋ねると、返ってくるのは沈黙であることが少なくない。
数千の組織が内部リスクに対処するのを支援してきた経験から、私は決定的に重要なことを学んだ。リーダーシップが壊したものは、テクノロジーでは直せない。
不健全な文化が内部リスクを招く
Teramindでは最近、同意を得た300社のクライアントを対象に監査を実施した。規模、業種、地域はいずれもさまざまである。内部脅威インシデントについて尋ねたところ、多くのクライアントは、こうした事象の大半が悪意や高度な攻撃に起因するものではないと回答した。原因は、コミュニケーション不全、期待値の不明確さ、あるいは有害なマネジメント慣行といった特徴を持つ環境にある。
従業員がセキュリティプロトコルを回避するのは、多くの場合、その予防策が実際には仕事を効果的に進める妨げになっているからだ。社内データを持ち出す人は、自分が使い捨てにされている、評価されていないと感じていることを理由に挙げることが多い。生産性を損なう存在になってしまう人はどうか。たいていは、優先順位の不明確さ、過度なマイクロマネジメント、目的意識の欠如に苦しんでいる。
私は最近、退職前に従業員が独自の顧客リストをダウンロードしたケースを精査した。監視システムは即座にそれを検知したが、本当の物語は雇用記録の中にあった。この人物は上司の振る舞いについて3件の正式な苦情を提出し、異動も2度申し出ていた。それでも人事から意味のある対応は一切なかった。つまりデータ窃取は、純粋な意趣返しというより、声が届かないという感覚への反応だったのである。
リーダーは往々にして誤った問題を解こうとする
内部リスクに関して、リーダーは「守られている」と感じさせる行動に意識を向ける。だが、文化の機能不全を放置したまま監視技術を導入することは、私が「セキュリティ・シアター」と呼ぶ状態を生む。従業員は監視システムを回避する術を学び、信頼はさらに損なわれる。ほどなくして優秀な人材は、容疑者ではなくパートナーとして扱われる環境を求めて離れていく。一方で、本当に悪意ある人物は手口をより巧妙にしていくだけである。
技術的ソリューションが魅力的に映るのは理解できる。具体的で測定可能であり、コントロールできているという錯覚を生み出すからだ。監視ソフトウェアはレポート、ダッシュボード、指標を生成し、取締役会やステークホルダーに提示できる。だが、テクノロジーが検知できるのは行動だけであり、その根底にある動機には手が届かない。ダッシュボードでは、従業員がなぜ主体性を失っているのか、なぜリーダーシップを信頼していないのか、なぜ仕組みを通すのではなく回避したがるのかは分からない。
リスク低減は、より深い分析から始めるべきだ
内部脅威をいかに速く捕捉するかを考える代わりに、経営者は根本的に異なる問いを立てる必要がある。
• 従業員は、会社資産を守るうえで自分の役割を理解しているか。成功できるよう必要な支援を提供できているか。
• セキュリティプロトコルが生産性と衝突したとき、従業員が恐れずに懸念を提起できる経路を用意しているか。
• 管理職は、エンゲージメント低下、燃え尽き、不満の初期兆候を認識できるよう訓練されているか。
• ミスを隠すのではなく、心理的安全性のもとで認められる文化を築けているか。
こうしたアプローチは、セキュリティ技術を捨てるという意味ではない。現代の内部リスク管理ツールは価値ある可視性を提供し、大きな被害を防ぎ得る。だが、それらは健全な組織文化という枠組みの中で実装されなければならない。
内部リスクの低減には、より良い空気が必要だ
私の経験では、内部脅威の発生率が最も低い組織には、監視技術とは無関係の共通点がある。
• リーダーシップによる透明性の高いコミュニケーション
• 明確なキャリアパスと成長機会
• 管理職とチームメンバーの間にある信頼ベースの関係
• 従業員のフィードバックに基づく実際の変化
最も効果的なセキュリティ戦略とは、内部リスクを組織の健全性指標として扱うものである。行動分析に加え、従業員エンゲージメントのデータ、管理職の有効性スコア、文化の健全性を示す指標を組み合わせる。監視システムが懸念すべき行動を検知した場合、その対応には調査と支援が含まれ、単なる取り締まりにとどまらない。
私が支援したある製造業では、知的財産の窃取が繰り返し発生していた。包括的な監視を導入したことで犯人は特定できたものの、インシデントは続いた。組織が退職者面談とエンゲージメント調査を始めて初めて、真の問題が判明した。エンジニアは、自分たちのイノベーションが経営層に盗まれ、別の誰かの功績として扱われていると感じていたのだ。透明性のある帰属ルールと、イノベーションを正当に評価するプログラムを導入すると、知財窃取は減少した。監視システムは変わっていない。変わったのは文化だった。
今後に向けて
内部リスクを低減する現実として、ソフトウェアを購入するほうが、有害なマネジメントを改めるより容易である。アクセス制御の実装は、信頼の再構築より手間が少ない。監視エージェントの展開は、リーダーを「リーダーとして」育成する投資ほどには資源を要しない。だが、リスクを本当に減らす介入は、まさにそちらである。
ビジネスリーダーとして、私たちには選択肢がある。内部脅威をテクノロジーの問題として扱い続け、組織文化が劣化する中で、ますます高度な監視を追加していくこともできる。あるいは、内部リスクは本質的にリーダーシップの問題であり、リーダーシップによる解決策を要するのだと認めることもできる。
監視データは嘘をつかない。従業員がエンゲージし、管理職が機能し、信頼の文化を持つ健全な組織は、機能不全の組織と同じ量・同じ深刻度の内部インシデントを生み出さない。問うべきは、セキュリティ技術と並行して文化変革に投資できるかどうかではない。投資しない余裕があるのかどうかである。
