テクノロジーの城壁だけでは不十分

　KnowBe4 Japanは、ヒューマンリスクとエージェンティックAIのリスクマネジメントを支援する企業だ。同社の職務執行者社長を務める力 一浩（ちから かずひろ）氏は「昨今の情報漏洩インシデントの70～90％が、最終的に人のミスに起因している」という調査結果を提示する。

「ヒューマンエラーは必ずしも悪意によるものではなく、利便性の優先や無意識の行動から生じます。個人を叱責したり処罰したりするだけでは根本的な解決に至りません。背後にある業務上のプレッシャーや、セキュリティを軽視する組織文化に目を向けるべきです」（力氏）

　力氏は、多くの日本企業が物理レイヤーやシステムレイヤーの防御、いわゆるテクノロジーによる“城壁”を築くことには熱心である一方、ヒューマンレイヤーの対策については科学的な根拠や定量的な分析が欠けたまま、場当たり的な教育に留まっている現状を指摘。ルールの確実な伝達と理解、最新の攻撃手法に対する知識、そして適切な選択を実行し続ける行動原理の定着が重要であると述べる。

　「単にメール訓練の開封率を確認したり、eラーニングを受講させたりするだけでは、組織の本当の弱点は見えてこない」と力氏。同社が提供するプラットフォームは、抽象的になりがちな人の振る舞いを数値化し、組織全体の中でリスクの高い領域を特定・即時介入できるようにする。このリスクの数値化こそガバナンスの要であるという。

「定量化されたリスクスコアがあれば、経営層は来期の投資戦略や人事評価、さらにはM＆Aや業務委託といった事業拡大にともなうリスク評価を、誰にでもわかる共通の物差しで行えるようになります」（力氏）

経営者とIT担当者の間に生じる“ズレ”

　続いて、マーケティングマネージャーの広瀬 努氏が、サプライチェーン強化に向けたセキュリティ対策評価制度について解説する。

　この評価制度は、サプライチェーンセキュリティを共通言語化し、星の数で評価する仕組みである。これまでは発注者と受注者の間でセキュリティ基準が曖昧であり、双方が過度な負担を強いられていた。今後は新制度によって公的に裏付けられた評価項目が提供されるため、サプライチェーン全体で透明性の向上とサイバーレジリエンスの強化が期待できる。

「サイバーセキュリティに関する取り組みは時代とともに変遷しています。コンピューターウイルスなどの外的な脅威にテクノロジーで対抗していた頃から、個人情報保護法など、コンプライアンスを遵守するためのルールが作られるようになりました。そして現在はセキュリティ文化の時代です。ガートナーやNIST（アメリカ国立標準技術研究所）が発行する国際的なガイドラインでも、セキュリティ文化の重要性が強調されています」（広瀬氏）

　2025年は国内の大手メーカーや小売企業が立て続けにランサムウェア攻撃を受け、サプライチェーンに大きな影響を及ぼした。このような事態を受け、多くの企業の経営者が自社を省みたことだろう。

「経営者から『当社は大丈夫なのか？』と問われた際、IT担当者はしばしば『事故は起こっていないから当社は安全』という結果指標で答えがちです。しかし、経営者は『今どのような安全プロセスが健全に回っているのか』を知りたがっています。このギャップを埋めるためには、VPNの脆弱性といった表面的な事象だけでなく、脆弱性が放置された組織要因にまで踏み込む必要があるのです」（広瀬氏）