ここで重要なのはセキュリティチームと現場のすりあわせや対話で、その機会を設けているのか、現場の声を吸い上げる仕組みがあるのか、再確認する必要がある。
セキュリティ文化を醸成するための報奨制度や人事評価
日本企業を取り巻くセキュリティ文化を変えるにはどうすればいいのか。力氏は、処罰をする文化から全員が学習をしていく文化に変えていくことをまず挙げた。
「組織のトップである経営層が自らセキュリティに強く関心を持って、メッセージを伝えることが重要です。また、従業員全員がセキュリティに取り組むことが業務の一部であると理解してもらうことも必要。
家に例えれば、どれだけ強固な鍵を玄関につけていても、家族の誰かが窓の鍵を閉め忘れたら意味がないですよね。企業も同じで、1人ひとりにセキュリティの責任があり、教育が欠かせないのです」(力氏)
セキュリティ文化を浸透させるため、制度上の工夫を行っている企業もある。セキュリティを意識して行動できた社員に対して報奨するのだそうだ。例えば、ビジネスチャット上でセキュリティリスクに気づいて書き込みをできるようにし、書き込みの多い社員を表彰する仕組みを設ける。
また、先進的な企業だと、全従業員のセキュリティに対する取り組みによって人事評価が変化する制度まで構築している。力氏は、こうした平時から異常を見つけるための取り組みが文化の醸成に効果があると言う。
「ITやデジタルが進展し、さらにAIが業務に入ってくる中で、企業はこれから正解のない世界にチャレンジしていくことでしょう。そのチャレンジの結果として社員がミスをしたとしても、そこから何を学んでいくべきかが非常に重要です。
その際に、一部の部署だけに負荷がかかる状況では、レジリエンスの観点でも弱い企業になってしまいます。経営層からセキュリティの重要性を理解し、積極的なメッセージの発信を続けていただきたいと思います」(力氏)
