セキュリティ文化は人為的に作れる

　インシデントが起きる要因の一つにヒューマンエラーがある。最終的なトリガーを引くのは個人だが「決して個人の問題に閉じない」と広瀬氏。ヒューマンエラーをコントロールするためのルールや制度に欠陥がある場合や、個人・チームに過度なプレッシャーがかかっている場合、心理的安全性の低さから問題が起きても隠蔽されてしまう場合など、組織的な要因も考えられる。

　組織的な要因をコントロールするために有効なフレームワークとして、広瀬氏は心理学者のジェームズ・リーズン氏が提唱する「安全文化」の概念を紹介する。

　細かいエラーも報告すること（報告する文化）、賞罰を公正に行うこと（公正な文化）、有事の際は現場に権限を委譲すること（柔軟な文化）、失敗から学ぶこと（学習する文化）を奨励するものだ。

「ミスを報告しても不当に処罰されることのない公正な文化がなければ、現場のリスクは隠蔽され、取り返しのつかない事態に発展するでしょう。文化は自然発生を待つものではなく、エンジニアリングによって人為的に作り上げることができます。KnowBe4では次の7つの指標を用いて安全文化の構築を支援しています」（広瀬氏）

　KnowBe4が実施した調査の結果によると、偶発的なインシデントであっても約49％の企業で懲戒処分が発生していた。「失敗は挑戦の結果であり、そこから学びを得るレジリエンスこそが組織を次のステージへ押し上げる」と広瀬氏は語る。

「心理的安全性の確保はセキュリティ対策のインフラです。セキュリティと利便性は常にトレードオフの関係にあります。バランスを取るためには、現場の職業的自尊心を高めるアプローチが不可欠なのです」（広瀬氏）

レジリエンス向上の鍵は「脱集中化」

　インシデントの要因はヒューマンエラーに限らない。組織のレジリエンスを向上させるためのアプローチとして、広瀬氏は「資源とプロセスの脱集中化」を挙げる。これは、セキュリティの権限や情報を特定のIT部門だけに集中させるのではなく、現場のリーダーを「セキュリティ・チャンピオン」として育成し、現場に権限を分散させる取り組みのことを指す。

「レジリエンスを高めるためには、小さな問題に関する情報を集め、起こり得る問題を予見し、危機を監視しながら学習と対処を繰り返す必要があります。これをサイバーセキュリティの専任部門ではなく現場の担当者が行うことにより、いざというときの問題対処能力が高まるわけです。システムログのようなデジタルの予兆だけでなく、現場の人間が察知するアナログな違和感が、平時の異常に対処する鍵となります」（広瀬氏）

　広瀬氏は、AIとの協働時代におけるサイバーセキュリティの在り方にも言及。自律性を持つAIエージェントがパートナーとなる中、セキュリティの壁を一度築いて終わるのではなく、リスクに応じて高さを変えたり位置をずらしたりする“動的な調整”が重要であると述べる。

「最適な壁の形を探るためには、現場との連携が不可欠です。サイバーセキュリティの対策をIT部門だけに任せるアプローチは、今後ますます困難になっていくでしょう。経営者、従業員、IT部門がそれぞれに役割を担ってサイバーレジリエンスを高める姿勢が重要です」（広瀬氏）

　KnowBe4ではエラーを0にするためではなく、エラーが多少あったとしても柔軟に対応し、システムやビジネスが止まらないようにするためのセキュリティ文化構築を顧客企業に提案している。広瀬氏は最後に改めて「2026年のトレンドはサイバーレジリエンスとセキュリティ文化」と強調し、講演を締めくくった。