{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
デジタルトランスフォーメーション(DX)や働き方の多様化は、従業員が仕事をする環境だけでなく、求められるセキュリティ意識も変えています。具体的には、新たなテクノロジーや日々巧妙化するサイバー脅威に対してのプロアクティブなキャッチアップや、他人の目による監視や牽制が存在しない環境下での自律的なセキュリティ行動規範の遵守など、組織を構成する個々人のセキュリティ意識の醸成がより重要になってきています。
PwC Japan有限責任監査法人(以下、PwC)は、これまで培ったリスクカルチャーやガバナンス&リスクの知見を活用し、セキュリティ意識の高度化支援など、組織のセキュリティリスクカルチャーの醸成を支援します。
DXをはじめとするさまざまな変革により、従業員の仕事環境は変化しました。具体的には、データ利活用(データドリブン経営)やクラウド活用により、特定のデジタル/IT人材しかアクセスできなかった情報がオープンになり、多くの従業員が重要情報にアクセスできるようになりました。ノーコード・ローコード開発の導入により、ITやセキュリティに明るくない人材も開発業務に携わるようになった企業もあります。
特筆すべきは、それらの領域がイノベーションを生むためのオープンな領域であり、ルールで縛りすぎることでイノベーションを生むことを妨げる可能性があるということです。DXによる変革を実現しつつ、セキュリティリスクを顕在化させないために、従業員のセキュリティ意識を高める必要があります。
テレワークの常態化によって雑談など非業務のコミュニケーションが減少し、周囲に目を配れない、目の前の自分の作業をこなすことが仕事となっている従業員が増えつつあることも管理職や経営層の悩みの種となっています。今後、ハイブリッドワークを中心とした働き方の多様化(ジョブ型採用、副業、週休3日制など)が進むことにより、その傾向はさらに強まると考えられ、セキュリティ意識を含む組織文化を醸成しなければ、現在のセキュリティ意識や組織文化を維持することさえも難しくなっていきます。
しかしながら、働き方の多様化により、従来のセキュリティ教育はこれまでと比べて効果が弱まっていると考えられます。人材開発における「70:20:10の法則※¹」では、人は「70%が経験、20%が他者、10%が研修」から学ぶと言われていますが、働き方の多様化によって生じる「孤独な業務環境」「日常コミュニケーションの減少」「主体性や積極性の欠如」は学習機会および学習効果を減少させるだけでなく、人の意識(セキュリティ意識)への働きかけ自体を難しくしています。
そのため、PwCでは人の意識へアプローチする観点および手法を再検討し、組織のセキュリティ意識を高める活動をセキュリティ部門や経営陣だけでなく多様な人材を巻き込んで実施すること(セキュリティリスクカルチャー※2の醸成)を推奨しています。
組織として目指す、従業員のセキュリティ意識と期待行動をまず設定します。下表の例では、組織として目指すセキュリティ意識を設定するとともに、セキュリティ行動を「察知」「判断」「対処」「指導」の4つのプロセスに分け、従業員に期待するセキュリティ行動を整理しています。また、組織の特性に応じて、社歴や役職、業務部門ごとや、従業員に期待するセキュリティ行動をプリンシプルベースで整理することも有効です。
PwCのフレームワークであるセキュリティ意識向上のための6つの視点(図表4)を参考に、人の意識へアプローチする観点および手法を検討します。セキュリティ意識向上のための6つの視点は、人の意識に働きかけるために有効な6つの観点(手法)であり、有効なフレームワークです。
具体的には、①で設定した組織として目指すセキュリティ意識および期待行動を達成するため、セキュリティ意識向上のための6つの視点を参考に、人の意識へアプローチする手法を検討します。また、各手法から検討した対応方針について、どのように規律し従業員にセキュリティ意識を醸成させるかを整理します。セキュリティ意識を醸成するための規律手法としては、ルールで規律する、上司や同僚などの周囲のコミュニティが持つ文化を浸透させる、市場原理や経済的インセンティブを意識させる、等があります。例えば、DXによるイノベーションを生むためのオープンな領域であれば、厳しいルールを定め行動を制限するのではなく、従業員の周囲のコミュニティ(上司、同僚等)から規範意識を醸成させる、といった観点から施策を検討し、実行していくことが有用です。
PwCは、上述のアプローチをベースに、組織の特性に合わせたセキュリティリスクカルチャーの醸成に貢献します。
先行事例との比較や従業員向けアンケート等を通じて、現在実施する取組施策の有効性分析を支援します。
組織として目指す姿(セキュリティ意識および期待行動)の検討支援の他、上述のアプローチに則り、アウェアネス向上(セキュリティリスクカルチャーの醸成)施策の検討を支援します。
セキュリティ研修に係る計画策定支援と合わせて、研修コンテンツの作成を支援します。