セキュリティ文化を構築する秘訣とは？ Kasperskyが提言：セキュリティニュースアラート

Kasperskyはサイバーセキュリティ文化を構築する上で、ミスを責めず、改善案につなげられるような心理的安全性の重要性を主張した。エンジニアリング組織で推奨される「ブレームレス文化」をサイバーセキュリティに適用すべきとしている。

[後藤大地，有限会社オングス]

　Kasperskyは2025年8月11日（現地時間）、サイバーセキュリティの強化において心理的安全性が果たす役割に関する見解を示した。従業員がインシデントの報告や改善提案を恐れずに話し合える環境が、組織全体のセキュリティ向上に寄与するとしている。

　サイバー攻撃はゼロデイ脆弱（ぜいじゃく）性の悪用やサプライチェーンの侵害、従業員が巧妙な詐欺に遭うことなど、さまざまなケースで発生する。また、セキュリティチーム自身の設定ミスや対応の誤りも起こり得る。しかしKasperskyによると、これらのインシデントはプロセスやシステムの改善機会でもあるという。

ミスを学びに　エンジニア組織にとって重要な「ブレームレス文化」とは？

　この考え方は航空業界の安全管理から着想を得ている。航空業界では設計エンジニアから客室乗務員まで幅広い関係者が事故防止のために情報共有を義務付けられている。事故やシステム障害だけでなく、潜在的な問題も逐一報告され、それを分析して安全対策の改良に生かす体制も確立されている。これにより、1959年の致命的事故率は100万回の飛行あたり40件から、2015年には0.1件まで減少している。

　ただし、このモデルは問題報告による処罰を恐れる環境では機能しない。航空業界の基準には、報告者を処罰しない「公正な文化」の確立が求められている。DevOpsエンジニアリングにおける「ブレームレス文化」も同様の原則であり、サイバーセキュリティにおいても不可欠な要素とされている。

　そういった意味で、全てのミスに責任者を求める文化は逆効果だ。こうした環境では従業員が責任を恐れて事実をゆがめたり、証拠を隠滅したりし、迅速かつ適切な対応を妨げる。また一人を責めることに終始すれば、同様の問題を防ぐためのシステム改善に集中できなくなる。結果としてセキュリティの欠陥が見過ごされることにつながる。

　Kasperskyはミスを学習の機会と捉え、悪意のない過失と意図的な違反を区別することが重要だとする。インシデント調査では背景や意図、組織的な問題の有無を含めて多角的に検証する必要がある。報告しやすい環境づくりや透明性の確保、従業員が安全に意見交換できる場の設置を推奨している。

　具体的には、経営層の理解と支持を得て公式文書で文化の方針を明示し、複数の報告チャネルを用意することが求められる。教育や訓練によって従業員の認識を高め、リーダーには適切な対応方法を指導することも重要としている。多様なメンバーからなるブレームレス審査委員会を設置し、報告内容を公平に検討し、改善策を立案することが効果的だとしている。

　Kasperskyは加えて、問題報告や改善提案をした従業員を積極的に称賛し、発見や対処に結び付けた成果を組織全体のセキュリティ管理プロセスに反映させることが望ましいとしている。

　失敗例も実例として学習に活用し、評価指標を使って運用状況を把握し、改善を続ける姿勢が重要とされている。ただし意図的な違反や規制に基づき、個人に責任を問う必要がある場合は例外と明示している。調査は客観的かつ必要最小限の範囲にとどめ、主眼はプロセスの改善と再発防止に置くべきだという。

　Kasperskyの見解はサイバーセキュリティの強化に当たり従業員の心理的安全性を確保し、オープンで公正なコミュニケーション文化を醸成することが不可欠なことを示している。