セキュリティ文化を組織で根付かせろ 各人材に求められる役割とは？：セキュリティニュースアラート

英国立サイバーセキュリティセンター（NCSC）は組織文化の観点からセキュリティ強化を図る原則を発表した。リーダーや専門家の協働により、信頼や支援を軸にした文化の定着を促すことが可能になるという。各人材に求められる役割とは。

[後藤大地，有限会社オングス]

　英国立サイバーセキュリティセンター（NCSC）は2025年6月4日（現地時間）、組織におけるサイバーセキュリティ文化の構築を支援する「Cyber security culture principles」（サイバーセキュリティ文化の原則）を公開した。NCSCが産業界および政府機関のパートナーと共同で実施した広範な調査に基づき策定されている。

セキュリティ文化を組織で根付かせろ　各人材に求められる役割とは？

　この文化原則はサイバーセキュリティを効果的に維持するために必要な文化的条件を明示し、組織が健全なセキュリティ文化を育てるための枠組みを提供する内容となっている。ただし、NCSCのガイダンスだけで文化的変革を実現することは不十分であり、セキュリティ専門家や文化の専門家、組織のリーダーといった多様な立場の協力が不可欠だとNCSCは強調している。

　サイバーセキュリティ専門家は、組織文化を変革する中心的な役割を担うとしている。専門家に対し、自身の行動や言動が文化形成にどう影響しているかを振り返るよう促している。特に支援的な姿勢の有無や信頼関係の構築、セキュリティを業務推進の一環として捉えているかどうかが問われている。

　文化の専門家やイノベーターには、セキュリティを人間中心の観点で捉え直す支援が期待されている。NCSCは、目に見える表面的なサイバーセキュリティ行動だけでなく根本的な文化的要因の特定と対応を求めており、問題を複雑化させずに導入可能なツールやサービスの開発が望まれている。

　組織のリーダーには、文化を構築して維持する姿勢が求められている。今回の原則は高いパフォーマンスや安全性、インクルージョン、そして従業員の定着率を支える文化に関する最新の研究結果と一致している。リーダーは自らの影響力をどう生かし、サイバーセキュリティを組織文化に根付かせるかが問われている。

　NCSCはサイバーセキュリティにおいて人材は不可欠であり、日々の意思決定がセキュリティ対策に影響を与えていると述べている。NCSCの調査で人材のセキュリティ支援能力が組織のサイバー文化の健全性と密接に関係していることが示されている。専門家やリーダーの連携によって文化的側面に取り組むことが、サイバーセキュリティ強化と安全なデジタル社会の実現につながるとしている。

　原則の詳細は、NCSCが公開した「Cyber security culture principles」で確認できる。