2025年9月26日開催情報セキュリティ分科会【生成AI時代だからこそ重要なセキュリティのための組織文化】
rena.takebe@ciolounge.org情報セキュリティ分科会ではこれまで「情報セキュリティの進め方」について検討を重ねてきましたが、今回は「企業において情報セキュリティ文化を定着させる教育」を検討するためにKnowbe4 Japan合同会社 セキュリティエバンジェリストの広瀬務氏より「セキュリティ文化の作り方について」をテーマに講演いただき、その後グループごとに分かれ討議を行いました。
参加者は16社29名(CIOLounge5名)で開催され、懇親会含めた6時間、活発で熱気あふれるセミナーとなりました。
基調講演
広瀬氏はまず企業における「安全文化」の基本は以下の4点であると整理されました。
- 細かいエラーのみでなく未然に防いだ例も正しく報告されること
- 中央集権で把握され「想定外インシデント」時は権力分散され柔軟さを保つこと
- 賞罰は公正にされていると認識されること
- 過去の例から学習され、学習されたものが改革・改善に活かされること
その上でセキュリティ文化を形成する7つの要素についてわかりやすく解説いただきました。
- 認識/理解:知識を得た後、理解し活用できるようにすることが重要
- 行動規範 :組織と個人に内在する「倫理的価値観に基づく暗黙のルール」を構築すること。定着が最も難しい要素であるが、企業の理念やリーダーの想いを共有することで規範が根付かせることができる
- 遵守意識:ポリシーと罰則で「期待されるセキュリティ上の行動基準」を示す。できる限り理解しやすい言葉で伝えイメージが伝わる手法を常に考える
- コミュニケーション:自由に話し合うことができる気風や風土が重要であり、現場の声を聴き入れ、報告しやすい環境を整える
- 姿勢 :知識を持っているだけではダメであり、行動に移す姿勢が重要である。「ルールを破れば罰し、良いことは褒める」など内発的動機が効果的
- 責任感・当事者意識:従業員にとって重要なことは、自分の意思決定や行動が組織セキュリティに直接影響を及ぼすと認識し、「責任感」や「誇り」を持てる環境造りが重要
- 振る舞い:従業員は所属する集団に影響を受けるので動機・能力・行動を集団に受け入れられ、評価されていると感じる環境造りが重要
グループ討議
参加メンバーより企業のセキュリティに関する現状が報告され、共通の課題や悩みについて理解を深めることができました。
主な論点として、以下の点について活発に議論されました。
- セキュリティ対策に具体的に取り組む手法
- 経営トップの理解得る方法
特に「経営トップの理解」を得るという課題は大きなテーマとして残りました。このテーマについて今後さらに深く掘り下げていく必要性を改めて強く感じています。
