人間という“最悪の脆弱性” 穴をふさぐための4つのセキュリティ文化の育て方

サイバー攻撃の原因は単なるシステムの問題ではない。多くの企業が高価なセキュリティ製品に投資する一方で、見過ごされがちなのが“ヒューマンレイヤー”の穴だ。これを解消するためのセキュリティ文化の育て方を解説する。

[田渕聖人，ITmedia]

　サイバーセキュリティの「ヒューマンレイヤー」に特化したソリューションを展開するKnowBe4 Japanは2026年3月6日、記者説明会を開催した。

　同社の力一浩氏（職務執行者社長）と広瀬努氏（マーケティングマネージャー）が登壇し、日本企業が直面しているサイバーリスクの本質と、今後本格化する「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応の在り方について言及した。

　力氏によると、昨今のサイバーインシデントにおいて、直接的あるいは間接的な原因の多くが最終的に「ヒューマンエラー」に起因しているという。これらは決して悪意によるものだけではない。業務の利便性を優先した結果、あるいは無意識のうちにセキュリティガイドラインを逸脱した行動を取ってしまうといった、日常的な判断の積み重ねが深刻な情報漏えいを引き起こしている。

　しかし多くの日本企業における対策は、依然として「技術的な城壁」の構築に偏重している。ファイアウォールやエンドポイント対策といったテクノロジーによる脆弱（ぜいじゃく）性対策には多額の投資がされる一方で、それらを運用する「人」というレイヤーに対する教育は、科学的根拠を欠いたまま、形骸化しているという。

　本稿は2026年10月に本格的な運用が始まる「サプライチェーン強化に向けたセキュリティ対策評価制度」を踏まえて、日本企業がセキュリティ文化を醸成する際に注意すべきポイントを解説する。

EDRを入れても事故は止まらない　ヒューマンレイヤーの穴を埋めるには

KnowBe4 Japanの力一浩氏（職務執行者社長）（筆者撮影）

　力氏は、従来型のセキュリティ教育の課題として、単発的なeラーニングの配信や標的型攻撃メール訓練の結果に一喜一憂するだけで終わっている現状を指摘する。どれだけの従業員が訓練をパスしたかという表面的な数値だけでは、組織の真の弱点や、次にどこに優先的に投資すべきかといった意思決定にはつながらない。また、インシデント発生時に個人を叱責・処罰する「懲罰主義」に陥る組織も多いが、これは根本的な解決には至らず、むしろ現場の萎縮や隠蔽（いんぺい）体質を招くリスクすら孕んでいるという。

　そのため企業に今求められているのは、従業員の振る舞いを「定量化」し、それに基づいた根拠ある教育を継続することで、組織全体の「セキュリティ文化」を醸成することだ。経営層から現場までが共通の危機意識を持ち、常に適切な行動を自律的に選択できる状態が望ましい。

　ここからは制度改正の潮流と組織論の観点から、これからのサイバーレジリエンスの在り方を考察しよう。

　日本政府が進める「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用が2026年10月に開始される予定だ。この背景にあるのは、一社による堅牢（けんろう）な防御だけでは防ぎきれない、エコシステム全体を狙った攻撃の巧妙化だ。

　大企業の強固なセキュリティを回避し、比較的対策が手薄な関連会社やサプライヤーを「踏み台」にする攻撃手法が常態化する中、取引条件として一定水準のセキュリティ対策を公的に証明することが求められる時代へと突入している。

KnowBe4 Japanの広瀬努氏（マーケティングマネージャー）（筆者撮影）

　広瀬氏は「これまでサプライチェーンにおけるセキュリティ対策が、発注側と受注側の双方にとって大きな負担となっていた」と現状を指摘する。発注側は取引先の対策状況を客観的に把握する手段に乏しく、受注側は取引先ごとに異なるセキュリティ基準への個別対応に忙殺されていた。今回、経済産業省が主導する評価制度によって評価項目が共通言語化されることで、透明性が増し、サプライチェーン全体の底上げが期待できる。

　特筆すべきは、この制度がITシステムベンダーから原材料の加工業者まで、サプライチェーンに関わるあらゆる業種を対象としている点だ。制度の目的として掲げられているのは「サイバーレジリエンスの強化」だ。ここでいうガバナンスの整備は、米国国立標準技術研究所（NIST）が提唱する「Cybersecurity Framework（CSF） 2.0」の考え方とも合致しており、テクノロジーによる防御だけでなく、インシデントの発生を前提としたレジリエンス（復旧力）を組織としていかに確保するかが問われている。

　サイバーレジリエンスを高めるためには、組織の隅々にまでセキュリティ意識を浸透させ、定着させるプロセスが不可欠だ。これは、特定のセキュリティ製品を導入すれば解決するという性質のものではない。経営層がリーダーシップを発揮し、従業員一人一人が自らの役割を理解し、適切な行動を取れるような「組織的対策」が機能して初めて、サプライチェーンの強靭化は実現する。つまり評価制度への対応とは、形式的なチェックリストの埋め作業ではなく、自社の組織構造をサイバーリスクという現代の脅威に適応させるための、経営改革そのものなのだ。

セキュリティ文化を醸成するには　「懲罰」から「学習」へのパラダイムシフト

　企業のサイバーセキュリティ対策はこれまで、ウイルス対策ソフトに代表される「テクノロジー」の導入から始まり、個人情報保護法などの施行に伴う「法令順守」の徹底へと変遷してきた。しかし2026年の今、新たなパラダイムとして浮上しているのが「セキュリティ文化」の醸成だ。

　広瀬氏はVPNの脆弱性を突かれたインシデントを例に、事象の表面だけを捉える危うさを深掘りした。多くの場合、原因は「脆弱性の放置」や「アカウント管理の不備」として処理され、対策はEDR（エンドポイント脅威検知・対処）などのツール導入で幕引きを図られがちだ。しかし、その背景には「組織的なゆがみ」が潜んでいることが多い。

　例えば情報システム部門が子会社化され、独立採算と効率化を過度に求められた結果、遠方のデータセンターへの入館申請を疎んじ、利便性のためにVPN経由での作業を常態化させていたとする。人員不足を補うために外部業者とアカウントを共有し、利便性を聞きつけた他部署もそれに便乗する。こうした現場の切実な要望やリソース不足という「組織的要因」こそが、脆弱性を突かれる真の土壌となっているのだ。

　インシデント調査は本来、なぜその運用が許容されていたのかという背景まで踏み込むべきだ。しかし物理的な事故に比べ、サイバー空間のインシデントは組織要因まで精査された報告書が公表されるケースが少なく、知見の共有が進んでいない。こうした要因を明らかにすることこそが、サプライチェーン全体の強化につながるヒントとなる。

　組織的リスクに対抗する枠組みとして、広瀬氏は英国の心理学者ジェームス・リーズン氏が提唱した「安全文化」の概念を提示した。これは「報告する文化」「公正な文化」「柔軟な文化」「学習する文化」の4つの要素から構成される。

ジェームス・リーズン氏が提唱した「安全文化」（出典：KnowBe4 Japan発表資料）

4つの安全文化を企業が醸成するにはこのポイントに注意する必要がある（出典：KnowBe4 Japan発表資料）

　特に重要なのが「公正な文化」だ。KnowBe4 Japanの調査によれば、日本企業の約半数（49％）において、偶発的なミスであっても従業員が懲戒処分の対象となっている実態がある。このような「懲罰主義」が根強い組織では、現場は保身のためにミスを隠蔽し、リスクは地下に潜る。これでは組織のレジリエンスは高まらない。むしろ、ささいな「ヒヤリハット」を積極的に報告することを奨励し、それを組織の学習資産に変える姿勢が必要だ。

日本企業の約半数（49％）において、偶発的なミスであっても従業員が懲戒処分の対象となっている（出典：KnowBe4 Japan発表資料）

　また、安全文化は自然発生的なものではなく、人為的に「エンジニアリング」できるものであるという視点も重要だ。従業員の姿勢や認識、振る舞いといった多角的な指標を測定し、科学的根拠に基づいて改善を繰り返すことで、強固な文化は形作られる。

　生成AIの普及は、この「文化」の重要性をさらに促進させている。AIエージェントの安全性を確保するためのガードレールはまだ発展途上であり、最終的には人間による判断や、柔軟なルールの運用に頼らざるを得ない。従来の「一度決めたルールを厳守させる」という静的なアプローチは、変化の激しいAI時代には通用しない。状況に応じて壁の高さを変え、ルールそのものを動的に調整するガバナンスが求められている。

　セキュリティを「コスト」や「制限」と捉える時代から、組織の「基礎体力」として再定義すべき局面に来ている。

　経営者の「当社は大丈夫なのか」という問いに対し、IT担当者が「過去は安全だったから問題ない」と答える。このボタンの掛け違いは、経営者が求めているのが「結果」ではなく、リスクを制御できているという「プロセス」の可視化であることに起因する。不確実な時代において、過去の無風状態は将来の安全を保障しない。

　これからのセキュリティ教育のあるべき姿は、単なる知識の詰め込みではない。「失敗＝能力の欠如」と見なす文化を脱却し、リスクに挑戦した結果としての「価値ある失敗」を許容し、そこから組織全体で知恵を共有する動きが重要だ。