今、何故セキュリティカルチャーなのか: セキュリティ文化はセキュリティ戦略に勝るか

このストーリーは、KnowBe4 Japanの営業組織を率いる、マルチリンガルのサイバーセキュリティ・エキスパートであるガブリエル・タンによって、異文化の実体験の視点から、文化の原点に戻って、セキュリティ文化の重要性を探究して、執筆されました。

文化（カルチャー）とは何か

最も影響力のある経営思想家と言われるピーター・ドラッカーは、「文化は戦略に勝る（Culture eats strategy for breakfast）」という有名な言葉を残しています。

この名言は、企業の文化における人的要因の重要性を指摘していますが、セキュリティカルチャー（セキュリティ文化）にも通じるところがあります。ピーター・ドラッカーは、「企業文化は企業価値の原動力であり、健全な企業文化が定着すれば経営戦略は容易に浸透していく」と述べています。

では、日本では、文化（カルチャー）は一般的にはどのように認識されているのでしょうか。

文化について、日本の文化庁は

「文化は，(1) 人間が人間らしく生きるために極めて重要であり，(2) 人間相互の連帯感を生み出し，共に生きる社会の基盤を形成するものです。また，(3) より質の高い経済活動を実現すると共に，(4) 科学技術や情報化の進展が，人類の真の発展に貢献するものとなるよう支えるものです。さらに，(5) 世界の多様性を維持し，世界平和の礎となります。」

と文化の機能・役割を定義しています。https://www.bunka.go.jp/seisaku/bunkashingikai/sokai/sokai_2/shakaikochiku_toshin/　

このように、日本では、文化（カルチャー）の重要性を認識して、国の文化や組織の文化の浸透を推奨しています。その1つの表れとして、日本の多くの企業は独自の企業文化を持ち、このもとに事業活動を展開しています。また、社風とも呼ばれ、企業独自の暗黙の“しきたり”や企業色を持っています。総じて、日本においては、文化（カルチャー）の認識は他国に比べて高いと言えるでしょう。

「文化と戦略」という前置きはここまでにして、本題の「セキュリティカルチャー（セキュリティ文化）」の日本における現状はどうでしょうか。

セキュリティカルチャー（文化）は必要か

では、ここで、「セキュリティカルチャー（文化）は必要か」を自問自答していただきたい。そして、もう1つ「企業文化は必要か」も自問自答していただきたい。この2つの必要度の認識には、かなりの温度差があるのではないでしょうか。企業文化は、経営幹部ならばほぼ全員が必要と回答するのではないでしょうか、それに対してセキュリティカルチャー（文化）を必要と考えている経営幹部の割合はどうでしょうか。多くの日本の経営者は、バブル崩壊期に企業経営が不調を兆したときに、イノベーションという合言葉のもとに企業文化を見直し、企業力を高めようとしました。これは、バブル崩壊の打開策として多くの経営陣が抜本的な対策としての文化の持つ力に着目したためと考えられます。

今、サイバー攻撃のリスクは増大の一途を辿っています。この中、多くの日本の企業や組織は、セキュリティ対策（戦略）に多大な投資を行ってきていますが、その効果はいまいちと言わざるを得ません。では、どこにこの問題があるのでしょうか？

これまで打ってきたサイバーセキュリティ戦略に問題があるのか

サイバーセキュリティの現状を直視していただきたい。ITセキュリティ製品への支出は増加し続けていますが、データ侵害の報告件数は、一向に減少しません。次のチャートを見てください。

KnowBe4は、その一因として、セキュリティ対策投資の割合に問題があると指摘しています。サイバー攻撃の発生源を調べてみると、米Verizon社の2023年度版Verizonデータ侵害調査報告(Verizon 2023 Data Breach Investigations Report）はデータ侵害の74%は人的要素が関与していると報じています。にもかかわらず、ITテクノロジー投資の割合を確認してみると、人的防御対策への支出は3%にも満たないことが示されています。

大きな投資をしているにもかかわらず、何故セキュリティ攻撃の被害が減らないのは、セキュリティ戦略に問題があると考えるのは妥当と言えるでしょう。

ここで、原点に戻って、「戦略」とは何かを考察してみたいと思います。経営学者のマイケル・ポーターは著書「競争の戦略 (Competitive Strategy: Techniques for Analyzing Industries and Competitors)」において、文化を形成するためのエンジンとなる戦略の定義を次のように述べています。

• 戦略とは、独自の地位を築くためのフレームである。
• 戦略とは、競合よりも優位なポジションを築くためのフレームである。
• 戦略とは、持続的な発展、持続的な競争優位を構築するためのフレームである。

戦略（経営戦略）をセキュリティ戦略に置き換えて、考えてみると、セキュリティ戦略の定義は次のようになります。

• セキュリティ戦略とは、サイバー攻撃者との戦いにおいて、安全な地位を築くためのフレームである。
• セキュリティ戦略とは、サイバー攻撃者よりも優位なポジションを築くためのフレームである。
• セキュリティ戦略とは、サイバー攻撃者に立ち向かうための持続的な発展、持続的な優位性を構築するためのフレームである。

つまり、戦略とは、対峙する相手（サイバー攻撃者）に対して優位に立つためのフレームワークと考えることができます。では、皆さんはサイバー攻撃者よりも優位に立ているのでしょうか。サイバー攻撃者に先手を打たれ、防御が中心になっているのではないでしょうか。

ここに、私たちKnowBe4がセキュリティカルチャー（セキュリティ文化）を抜本的なサイバーセキュリティ戦略と捉え、その重要性を主張する理由があります。

セキュリティ戦略ではなく、セキュリティ文化の持つ力に力点を置く、発想の転換が必要である

これまで、皆さんはセキュリティ攻撃の対抗策として、ファイアウォールから始まったサイバー攻撃に対する基本的な対策に多大な投資をしてきているのではないでしょうか。その一方で、サイバー攻撃者は組織化され、その攻撃手法はさらに巧妙になってきていています。この中でこれまで投資してきた皆さんのセキュリティテクノロジーインフラ内で今何が起きているかを現状把握していただきたい。

多大な投資を投下したにもかかわらず、サイバー攻撃の巧妙化と大量化によって、様々なユーザーの危険なセキュリティ行動が繰り返し発生し、セキュリティアラートが多発しているのではないでしょうか。現状は、サイバー攻撃者に優位を取られていると言ってよいのではないでしょうか。

ここには、

“セキュリティシステムはすべてに全勝しなければならないが、攻撃者は1回勝利すれば良いのである。”

— Dustin Dykes (ダスティン・ダイクス) Dallas Hackers Association創立者

というテクノロジーソリューションによる防御戦略の盲点があります。

KnowBe4は、このサイバー攻撃者優位の現状を打ち勝つための抜本的な打開策が必要と考えます。この抜本対策こそが、強いセキュリティカルチャー（文化）ではないでしょうか。今必要なのは、戦略ではなく、文化（カルチャー）の持つ力に力点を置く発想の転換とKnowBe4は考えます。

曖昧なセキュリティカルチャー（文化）： 広範な構成要素によって絡み合うが故に、捉えどころがない

米国フロリダ州オーランドで4月24日からの3日間にわたり米国フロリダ州オーランドで開催された2023年度年次ユーザーコンファレンス（KB4-CON 2023） https://www.knowbe4.jp/press/kb4-con-2023-report で、KnowBe4を率いるCEOであるストゥ・シャワーマンは、すべての組織はセキュリティカルチャーを持っているが、その認識度・成熟度はそれぞれの組織で大きく異なっていると述べてきます。また、ストゥ・シャワーマンは、セキュリティカルチャーが文化という広範な構成要素によって絡み合い、繋がっている本質から、その認識度・成熟度を捉えることが難しいと指摘しています。

セキュリティカルチャー(文化)の定義とセキュリティカルチャー(文化)についてのKnowBe4の取り組み

KnowBe4では、セキュリティカルチャー(文化)とは、組織のセキュリティに影響を与える考え方、習慣、社会的行動とそれを形成する振る舞いの全体と定義しています。KnowBe4では、これまでに、セキュリティカルチャー(文化)について、セキュリティ業界をリードする様々な取り組みを行ってきています。これをKnowBe4独自の方法論としてまとめています。KnowBe4では、KnowBe4プラットフォーム上でセキュリティカルチャーアンケート調査を2019年から提供し、KnowBe4ユーザーにおけるセキュリティカルチャーの現状を調査してきています。

この調査研究を通して、セキュリティカルチャー評価指標を確立し、セキュリティカルチャーの醸成度の他社比較を可能にする「セキュリティカルチャー・ベンチマーキング」をKnowBe4のユーザー向けに公開しています。https://www.knowbe4.jp/press/new-security-culture-benchmark-feature

この機能によって、KnowBe4のユーザー企業が自社のセキュリティカルチャーを7つのコアディメンジョン（基軸）：1. Attitudes（姿勢）、2. Behaviors（振る舞い・習慣的行動）、3. Cognition（認知）、4. Communication（報告・連絡、コミュニケーション）、5. Compliance（コンプライアンス）、6. Norms（暗黙のツール・常態常識）および 7. Responsibilities（責任感）に対して、同業他社と比較し、セキュリティカルチャーに関するキーとなる評価指標を具体的なスコアとして比較評価することを可能しています。さらに、KnowBe4は、セキュリティカルチャー測定を革新する業界初のセキュリティカルチャー成熟度モデルを発表しています。https://www.knowbe4.jp/press/knowbe4-security-culture-maturity-model

このモデルは、KnowBe4のリサーチ部門によって開発されました。このモデルを支えるフレームワークは、KnowBe4が長年にわたり培ってきたセキュリティ意識、セキュリティ行動習慣性、セキュリティカルチャーに関する膨大なデータセットをベースに組み立てられています。このセキュリティカルチャー成熟度モデルでは、組織、業種、地域、その他測定可能なグループにおけるセキュリティに関する現在の成熟度／醸成度をCMI（Culture Maturity Indicator：カルチャー成熟度評価基準)をベンチマーク比較して、成熟度レベルを判定しています。KnowBe4では、セキュリティ意識の進化のプロセスの中で、Awareness（意識変革）、Behavior（行動変容）、Culture（カルチャー）が確立されると考えています。 KnowBe4のセキュリティカルチャー成熟度モデルは、この進化プロセスと判定要素に基づいて5つの成熟度レベルに分類しています。

レベル1： 基本的なコンプライアンス（セキュリティ規範・倫理の遵守）

レベル2： セキュリティアウェアネス（意識）ファンデーション（基礎）

レベル3： 習慣付けされたセキュリティ意識と行動

レベル4： セキュリティ行動（振る舞い）管理

レベル5： 持続可能なセキュリティカルチャー確立

セキュリティカルチャーは、残念ながら、その概念はなかなか理解されません。この新しい成熟度モデルは、曖昧であったセキュリティ関連の成熟度について、自組織のレベルを数値化することで明確化しています。これは、曖昧であったセキュリティカルチャーの取り組みを一変させています。

セキュリティ文化が改善されると何が起きるか

セキュリティ文化の改善は、従業員の安全な行動や組織全体のリスク低減に直結することが、このテーマに関するKnowBe4の継続的な調査研究により明らかになっています。これまではセキュリティ文化の改善プロジェクトになかなか投資ができなかったかもしれませんが、今回の調査研究では、セキュリティ文化の改善効果が大きく、大きな付加価値を生み出すことを明らかにしています。

次のグラフは、1,000件のフィッシングメールに対して従業員が行った3つのアクション（メール開封、リンクのクリック、認証情報の入力）の件数を最悪のセキュリティ文化レベルから最高のセキュリティ文化レベルまでの４レベルに分けて、示しています。黒い線は、セキュリティ文化レベルが上昇することで、どのようにリスクが減少するかを示す改善曲線です。

セキュリティ文化とリスクの高い従業員の行動についてKnowBe4が実施したこの独自の調査結果によると、最悪のセキュリティ文化レベルと最高のセキュリティ文化レベルでの認証情報漏洩の行動には52倍の差があることが示されています。つまり、セキュリティ文化を重視すればするほど、従業員が安全な習慣を守り、より安全な行動を取る可能性が高まることが明らかにされています。

では、どうすれば、健全なセキュリティ文化を定着させることができるか

優れたセキュリティカルチャーを実現するために何をすべきかについて、ほとんどの組織では漠然としたイメージしか持っていないのではないでしょうか。KnowBe4は、強固なセキュリティカルチャーを形成するためのガイドを1冊のホワイトペーパーにまとめています。https://www.knowbe4.jp/press/2023-security-culture-how-to-guide

このガイドは、セキュリティカルチャー(文化)の基本概念を定義し、組織内で優れたセキュリティカルチャーの構築を醸成するために、どのような行動指針を検討すべきかを解説していきます。セキュリティカルチャー（文化）には、様々な側面があります。最初に、組織全体を巻き込んだ日々の努力なしには、優れたセキュリティカルチャー（文化）を築けないことを理解してください。前向きな真摯な努力を続けることが、大きな成果につながります。セキュリティカルチャー（文化）を組織に刷り込み、文化として確立できれば、維持することが容易になります。この良い例が、組織に溶け込もうとする新入社員に、入社時にセキュリティカルチャー（文化）を刷り込むことで、早期に順応させることができることです。

多くの組織にとって、セキュリティカルチャーを定義することは、決して容易ではありません。セキュリティカルチャーとは何かをしっかりと理解し、組織のセキュリティカルチャーの方向性を十分に検討することがなければ、効果的で持続的な変化を組織にもたらすことはできないでしょう。

最初にやるべきことは、セキュリティカルチャー(文化)の必要性を全社で共有することです。ここを出発点に、セキュリティカルチャー(文化)を全社に浸透していくことです。このプロセスをKnowBe4は、シンプルな基本理念「ABCの基本理念」として定義しています。このABCは、以下の単語の頭文字を取った略称です。

•   Awareness（意識変革）

•   Behavior（行動変容）

•   Culture（カルチャー醸成）

意識向上（Awareness）は、Behavior（行動）に影響を与え、行動変容を起こし、Culture（カルチャー醸成）につながるという段階的な進化が、KnowBe4が提唱するセキュリティカルチャー醸成の基本理念です。意識向上から意識変革が起り、自動的に行動変容が生まれてくるわけではありません。ここでポイントとなるのが、セキュリティの強化が重要であることを従業員一人ひとりに共感してもらうことです。この共感の輪が、大きな影響となって、組織全体に派生していきます。これこそが、セキュリティカルチャー(文化)なのです。

長年にわたりKnowBe4が培ってきたデータドリブンの知見から生まれた、セキュリティカルチャーの改善を継続するサイクルを作り出す基本的な7つのステップを以下に紹介します。

•   ステップ1 - 変える必要がある従業員の危険な行動を1つか2つに絞って選択する

•   ステップ2 - 小さな行動変容を全社的に波及させる計画を立てる

•   ステップ3 - 経営幹部の賛同を得る

•   ステップ4 - 周知徹底のためのコミュニケーション

•   ステップ5 - 計画を実行する

•   ステップ6 - 結果を測定する

•   ステップ7 - さらに前進させる戦略を立てる

ここでのポイントは、拙速に結果を求めないことです。変える必要がある従業員の危険な行動を絞り込んで、小さな成果から始め、その成果を他の行動変容へ波及させていくことです。次に大切なことは、生み出されてくる結果を測定することです。この成果を組織全体で共有することで、大きな成果へ発展させ、強固なセキュリティカルチャーを育んでいくことができるのです。

＜まとめ＞

ピーター・ドラッカーは、企業文化と経営戦略の関係について、「企業文化は企業価値の原動力であり、健全な企業文化が定着すれば経営戦略は容易に浸透していく」と説いています。また、「文化は戦略に勝る（Culture eats strategy for breakfast）」という名言を残しています。何故セキュリティカルチャー（セキュリティ文化）が必要かという理由は、ここにあります。セキュリティ教育から行動変化を起こし、これを常態化して、行動変容につなげ、カルチャー（文化）として定着させていく地道な努力ことが、抜本的なセキュリティ対策であるセキュリティ文化の源泉なのです。健全なセキュリティ文化が定着すれば、セキュリティ戦略は容易に浸透していきます。文化として最終的に組織に根付かせない限り、すべての努力は一過性の成果に終わってしまうことを理解していただきたい。

セキュリティ文化は企業の安全価値であり、健全なセキュリティ文化が定着すれば、セキュリティ戦略は浸透していきます。

――――――――――――――――――――――――――――――――――――――

KnowBe4 Japan合同会社

営業統括本部長　ガブリエル・タン

KnowBe4 Japan 合同会社 〒100-6510 東京都千代田区丸の内1－5－1　

新丸の内ビルディング10F　EGG 内

電話 03-4586-4540　eメール info@knowbe4.jp

＜KnowBe4について＞

KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick（ケビン・ミトニック）がCHO（Chief Hacking Officer）を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2023年5月現在、6万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。

KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。