RecMA人事ニュース » 従業員がサイバーセキュリティポリシーに違反する理由

総合従業員がサイバーセキュリティポリシーに違反する理由

2022年02月16日

近年、サイバー攻撃の脅威がますます高まり、サイバーセキュリティへの投資は急増している。しかし、どれほど強固なシステムを導入しても、従業員がセキュリティポリシーを逸脱する例が後を絶たず、企業は脅威にさらされ続けている。

筆者らの研究によると、従業員は悪意があってポリシー違反を行うとは限らず、むしろ善意を形にするために手順を守らないことが判明した。本稿では、ポリシー違反がなくならない理由を明らかにし、マネジャーにとって重要な3つの教訓を示す。
昨年（2021年）夏、コロニアル・パイプラインはサイバー攻撃を受け、米南東部全域でガソリンの供給をめぐりパニックが広がると、同社はおよそ500万ドルの身代金を支払った。わずか数週間後、世界最大級の食肉加工会社JBSがサイバー攻撃を受け、米国、カナダとオーストラリアの工場が操業停止に追い込まれた結果、同社は身代金1100万ドルの支払いに応じた。

このような攻撃は、ここ数年でますます増えている。新型コロナウイルスのパンデミックが事態をさらに悪化させ、パンデミックの初期数カ月間でサイバー攻撃は400％増えたとFBI（米連邦捜査局）は報告している。

その対策として、サイバーセキュリティへの投資が急激に増えている。しかし残念ながら、それらの努力によって、脆弱性を生む根本的な要因に必ず対処できているわけではない。

より高性能で、スマートで、安全な技術システムの開発にIT専門家が奮闘しても、プログラムから排除できないリスクが一つある。人間だ。とりわけ、リモートワークの普及に伴いセキュアシステムへのアクセスがより分散的になると、従業員による一度の不適切なクリックが、デジタルエコシステム全体を脅かすことも十分にありうる。

なお、一部の組織は技術面の取り組みを補完するために、従業員を潜在的な攻撃経路と見なしたサイバーセキュリティ施策を始めている。これらの施策で通常想定されるのは、従業員は無知または悪意のいずれかによってセキュリティ手順に違反する、というものだ。

しかしながら、筆者らの最近の研究では、従業員が手順に従わないのは多くの場合、実際には「意図的だが悪意のない違反」の結果であり、従業員のストレスが大きな要因である可能性が示されている。

規定違反の多くは、害を及ぼそうという欲求ではなく、ストレスが引き金

筆者らはさまざまな業界に属する330人あまりのリモートワーカーに、2週間の期間内における毎日のストレス度と、サイバーセキュリティポリシーの順守度を自己申告してもらった。

また、在宅勤務への移行がサイバーセキュリティに及ぼした影響の理解を深めるために、パンデミックでリモートワークを余儀なくされた36人の専門職者に対し、一連の詳細なインタビューを実施した。

その結果、サンプル全体において、セキュリティ慣行の順守は断続的であった。分析を実施した就業日10日間のうち、サイバーセキュリティポリシーを完全に順守できなかったことが少なくとも一度はある参加者が67％を占めた。平均すると業務タスク20件ごとに一度の割合で不順守が生じていた。

では、手順の違反が生じた原因は何か。セキュリティポリシーを守れなかった理由を尋ねたところ、参加者の間で最も多かった3つの回答は、「自分のタスクをより効果的に達成するため」「自分が必要なものを得るため」「他者の業務の達成を助けるため」であった。これら3つは、従業員が故意にルールを破ったケースの85％を占めている。

対照的に、害を及ぼそうという悪意が申告されたケースは、規定違反のうちわずか3％であった。したがって、悪意なき違反（業務遂行上の必要性のみを純粋な動機とするもの）は、報復的な違反の28倍多かったことになる。

加えて、参加者がより高度のストレスを申告した日には、故意にセキュリティ手順に違反する傾向が格段に高いことも判明した。これは、業務遂行の妨げとなるルールを守ることへの忍耐度が、高度のストレスにより低下したことを示唆する。

ストレスの原因として多かったのは、仕事と家庭からの要求を両立できないこと、雇用不安、そして皮肉にも、サイバーセキュリティポリシーの要求事項そのものであった。手順に従うことで、生産性の妨げになりそうだ、余計な時間や労力が必要になりそうだ、仕事のやり方を変えることになりそうだ、頻繁に監視されている気分になりそうだ――このような懸念が生じる時、手順に違反する傾向が高まっていたのである。

これらのデータは自己申告であるため、無自覚の違反については、当然ながら測定できていない。したがって、無知や人為的ミスから生じるセキュリティの問題が広がっていることに関して、本研究から明確な結論を導くことは難しい。

しかし、筆者らの研究結果が強く示唆するのは、悪意ある従業員の「内部脅威」に対するメディアの大々的な注目とは裏腹に、ルールの完全順守を故意に怠る可能性の背後には、善意から生じる理由がいくつもあるということだ。これに基づいて筆者らは、マネジャーにとっての3つの重要な教訓を見出した。

無知と悪意の間の中間地点がある

多くのリーダーは、従業員によるセキュリティ違反は悪意または無自覚のどちらか一方であると想定し、それを前提にセキュリティポリシーを策定する。しかし筆者らの研究は、無知と悪意の間には相当に大きな中間地点があることを示している。したがってマネジャーは、このことを踏まえた研修プログラムを取り入れるのが賢明だ。

具体的にいえば、セキュリティポリシーでは悪意ある攻撃に焦点を当てるよりも、従業員による違反の多くはセキュリティと生産性のバランスを取ろうとする試みから生じている、という事実を受け入れるべきだ。それゆえに、悪意なき違反のまん延について従業員とマネジャーを教育し、セキュリティ慣行の順守が業務遂行に抵触すると思われる場合にどうするかについて、明確なガイダンスを提示しなければならない。

加えて、セキュリティポリシーの考案とユーザーテストのプロセスに従業員を参加させる手段を講じ、それらの規定を実際に守るために必要なツールを与えるべきだ。この種のルールが従業員のワークフローをどのように妨げうるのか、あるいは新たなストレスの原因となりうるのかについて、IT部門がそれほど理解しないまま単独で手順を策定するケースがあまりに多い。

リモートワークへの移行で多くの人々の働き方が変化する中、IT部門のリーダーはなおのこと、新たなセキュリティ対策による影響を受ける従業員を、ルールの考案、検証、導入のプロセスに必ず関与させるべきである。

職務設計とサイバーセキュリティはつながっている

セキュリティよりも生産性のほうが重要だという考えは珍しくない。平常時であれば、これは必ずしも問題ではない。従業員はおそらく、両方に対して十分に注力するリソースがあるからだ。しかし、パンデミックによるさまざまなストレスで生産性の維持が難しくなると、人事考課や昇進やボーナスに寄与する重要なタスクが優先され、セキュリティは二の次になりがちだ。

マネジャーはこれに対処するために、職務設計とサイバーセキュリティが根本的につながっていることを認識しなければならない。現実には、サイバーセキュリティポリシーの順守は従業員の仕事量を増やすことになりかねない。したがって仕事量を決める際は、他の業績指標とともに、この点も考慮してインセンティブ化を図るべきである。

さらに、マネジャーはチームのストレスの原因を特定し、それを減らすよう努める必要がある。ストレスの多い状況下で働くことは、セキュリティポリシー順守の継続性にも影響を及ぼしうるからだ（ウェルビーイングや、その他多くの指標にもたらす影響は言うまでもない）。

とりわけ、リモートワークの一般化が進む中、監視システムの下で働く従業員の心理的負担をマネジャーは認識しなければならない。オフィスでは妥当に思えた監視システムでも、自宅では煩わしい干渉だと感じられるかもしれない。たとえ明白で直接的な影響がなくても、ストレスの増加がセキュリティポリシーに違反する可能性を間接的に高めうることが、筆者らの研究で示されている。

ハッカーは利他主義に付け込む

大半のマネジャーは、従業員が互いに助け合うのはよいことだと言うだろう。しかし不幸なことに、利他主義は代償を伴う場合もある。

筆者らの分析では、規定違反の約18％は、同僚を助けたいという欲求が動機であった。私たちが日々直面する課題はパンデミックで増える一方であり、ゆえに善意ある従業員が、組織の脆弱化を招くような方法で同僚を「助けてしまう」機会もより多く生じている。

ハッカーはそれを認知している。人助けのためと思えばルールを曲げてもかまわない、という従業員の意向に付け込み、意図的にソーシャルエンジニアリングの手口を使うことが多い。

マネジャーは対策として、この種の攻撃を防ぐよう特別に設計されたセキュリティポリシーを導入するだけでなく、従業員のワークフローにそれらの対策が及ぼす影響を減らすよう努めなくてはならない。そして順守率を高めるために、その論理的根拠を明確に説明する必要がある。

たとえば、リモートワークへの移行で対面のコミュニケーションが減り、ビジネスメール詐欺（BEC）がますます流行している。攻撃者は従業員に対し、上司や近しい同僚のふりをして、資金の振込を緊急依頼するメールを送るという詐欺だ。時間的制約と、同僚を助けたいという欲求により、受信者は依頼をしっかり確認しないまま、手順を破って送金してしまうかもしれない。

このような攻撃から組織を守るには、多額の取引処理を承認する際のポリシーを設けるだけでなく、それがなぜ重要かを従業員に教えると同時に、ポリシーがなるべく日常業務の妨げにならないよう努める必要がある。

＊　＊　＊

現代のサイバーセキュリティ環境では、従業員一人ひとりが潜在的な感染経路だ。組織の安全を維持するには、ポリシーの軽視と攻撃者のチャンスにつながりかねず、誰もが影響を受けやすい要因について、技術部門と事業部門のリーダー両方が理解しなければならない。

恨みを持つ従業員が意図的に自社に害を及ぼそうとしているという見方により、説得力のあるストーリーができるかもしれない。しかし筆者らの研究は、悪意なき（だが壊滅的な事態をもたらしかねない）セキュリティ違反を動機付ける重大な要因として、従業員のストレスを指し示している。

高まるサイバー攻撃のリスク――そしてますます多くのストレスを抱える従業員に起因する数多くのリスクにも――対処するには、リーダーは職場でのストレスの根本原因を最小限にすべく、的を絞った取り組みを始める必要がある。そしてあらゆる階層の従業員に向けて、より健全で持続可能な仕事量を設定しなくてはならない。