セキュリティ文化は、計画的で、且つ、持続可能である必要がある [翻訳記事]

nabbisen - Oct 3 '18 - - Dev Community

本記事は、以下の記事の翻訳です:
Security Culture has to be Intentional and Sustainable by Perry Carpenter on Infosecurity Blogs
* 執筆者に許諾を頂いた上で掲載しています。


さっそく本題に入りましょう:
あなたのセキュリティ文化は――今もこれから先もずっと――所属する組織文化の中の、一つの構成要素です。
別の言い方をするならば、もしもあなたがセキュリティ意識の目標を達成したい(成し遂げたい!)と考えているのでしたら、次のことをしなければなりません。
すなわち、セキュリティを軸とする考えと価値観を、あなたの組織の主たる文化の中に織り込んで行くのです。

そのためにはどうすれば良いでしょうか?
強固で計画的で持続可能なセキュリティ文化を構築することに関して、私は成功に至る 4 つの秘訣を見出しました。

1. 自分がどこから来て、どこへ行こうとしているのかを、知りましょう
先人の言葉に曰く「計画を立てることができていないのは、実現できない計画を立てているのに等しい」です。
この言葉はここでは正鵠を射ています。
最初の秘訣の鍵となるのは、組織の体制に働き掛けて、あなたが次のようにやろうとしていると信じさせることです。
すなわち、あなたは、単純に埋め合わせをしながら物事を進めて行くのでは無く、組織だったやり方をもってアプローチして行くのです。
(私の考えは、一例ですが、アメリカ国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワークでお読み頂けます。)

特に大規模で国際的な組織においては、取材や迅速な調査を一通り行うことが重要です。
それを通して、部署ごとあるいはリーダーごとのセキュリティ観点の違いを知ったり、方針やベストプラクティスについての洞察を深めたり、また彼らが実際には何を重要と考えているのかということを理解したりするのです。
結果として、管理職にある重要な人たちが同じ方向を向いているかということや、あなたが計画を立てる上で対処が必要な政治的あるいは論理的なハードルがあるのかということが、明らかになるでしょう。

これらの洞察を得られれば、その年の目標設定に着手できます。
私は、生産性に関する指導者の方々から提言を頂いた SMARTER な目標設定フレームワークについて、記述したことがあります
これは本件でうまく機能するでしょう。
SMARTER なフレームワークには、いくつかのバージョンがあります――私のおすすめは マイケル・ハイオット(Michael Hyatt)のバージョン です。
(SMARTER が意味するところは、Specific 具体的で / Measurable 計測可能で / Actionable 行動可能で / Risky 冒険的で / Time-keyed 時間管理がなされており / Exciting わくわくする / Relevant 適切な もの、です。)

2. 組織の文化を通して、セキュリティ意識を観察しましょう
組織文化とセキュリティ文化は同一のものではありませんが、両者を近い位置に置いて考えることが重要です。

私たちは、組織文化の実際の姿を見て、混乱してしまうことがあります。
それは、人間の潜在意識による行動の集合体です。
人々は、過去の成功と集団内で正しいと信じられているものに基づいた行動を、繰り返します。
それは、役割や過程や評価の集合体では無いのです。
同じように、セキュリティ文化は「意識」および「訓練」(のみ)と関わりを持つわけではありません。
人間の潜在意識による行動の集合体でもあります。
人々は、過去の経験と、集団内で正しいと信じられているものに基づいた行動を、繰り返すのです。

文化は人々の間で共有され、習得され、適応されて行きますが、他から影響を受けることもあります。
その時に、グループは集団性を獲得しますが、リーダーが発信源となります。

あなたは既存の文化を案内人として、セキュリティ文化の周囲における変化と行動に影響を与えて行かねばなりません。
たとえば、あなたの組織がマーケティング部門を持っていて、そこが組織内コミュニケーションの支援をしているとしましょう。
その場合、その部門がコミュニケーションの方法や形式やイメージに対してどのように影響を与えているのを、あなたは理解する必要があります。

会社の中に確立された意見や論調がある中で、*あなたの* コミュニケーションに対して聞く耳を持ってもらうために、このようなことを行う必要があります。
このやり方であれば、あなたはひとり相撲をしているようにも、(何よりも悪いことですが)不適切なことをしているようにも、見られないのです。
さらにあなたは部署 / 部門 / 部局ごとの微妙な差異がどこにあるかを知る必要があります。
これらの区分けに則りながら、それぞれの固有な文化的枠組みの中で働いてみましょう。
加えて、物事をより容易に且つ効率的にするために、あなたの組織の既存のコミュニケーションチャネルがどのようなものなのかを知り、それらに(たとえば定例の会議や役員とのビデオ会議などに)参加してみましょう。

3. 行動マネジメントの原則に影響を与えることで、良い形でセキュリティ防御の学習を進めましょう 
私は好んでこのような言い方をします。
「意識しているからと言って、注意していることにはなりませんよ!」
私が何を言わんとしているかわかりますか?
シンプルなことです。
セキュリティを意識することと、セキュリティのために行動することは、同じではありません。
あなたのセキュリティ意識プログラムは、情報の伝達だけに焦点を限定するべきではありません。
人々が意識はしていても注意はしていないことが多々あります――私たちは人々に注意をさせる必要があるのです。

あなたのセキュリティ意識プログラムは、組織における人為的なセキュリティ事故の総体的なリスクを削減することに、焦点を当てていないでしょうか。
もしそうでしたら、上記の理由のために、あなたは行動マネジメントの実践を取り入れる必要があります。
私たちはユーザーを具体的な行動に駆り立てるような魅力ある体験を生み出す必要があるのです。
BJ・フォッグ(BJ Fogg)による 行動モデル習慣の創造 は、この原則の偉大な事例を提供してくれています。

フィッシング詐欺の模擬プラットフォームは、セキュリティ文化プログラムを考える上で、良い事例になります。
このプラットフォームは、次のような展開を通して、行動マネジメンの基本のいくつかを手っ取り早く教え込んでくれます。
あなたはそこで、ソーシャルエンジニアリングの模擬攻撃をユーザーに仕掛けます。
そして、もしもそのユーザーが模擬攻撃の犠牲者になった場合は、ただちに指導と復旧のための行動を開始するのです。
このことを頻繁に行えば、劇的な行動の変化が見られることでしょう。

4. 短期的には現実主義で考えて、長期的には楽観主義で考えましょう 
あなたの立場と影響範囲が理解されている組織の中では、現実主義の楽観主義者になりましょう。
ただし文化の発信源は組織の長であることを覚えておきましょう。
文化の出発点を頭に入れてから、セキュリティ文化マネジメントのロードマップに手を加えて行きましょう。
そのためには、次の 4 つの領域を評価しなければなりません:

  • 「いかにして私たちは交わるか」人々が組織内部でも外部のステークホルダーとも協力しながら目標達成に至る道筋に焦点を当てましょう。
  • 「いかにして私たちは決定するか」一般的なリーダーシップのスタイルと、それが組織文化の帰趨にどのように影響を与えるのかについて、概要を説明しましょう。
  • 「いかにして私たちは働くか」チームの働くスタイルと、ソリューションの創造方法と、問題の解決方法を定義しましょう。それらが組織の帰趨に影響を与えます。
  • 「いかにして私たちは測定するか」組織のパフォーマンス指標と、それらが組織の目標達成に対してどのように影響を与えるのかを説明しましょう。

組織文化におけるこれら 4 つの特性を理解することで、セキュリティ業務のリーダーと企業のリーダーは、文化を変革して組織全体の防御を強固にしようとする時に、詳しい情報に基づいた選択肢をつくれるようになるのです。

以上の方法で全体を計画し、SMARTER な目標を作成して、組織内の微妙な差異を理解して、真の持続可能な変革を成し遂げることに焦点を当ててください。
それができれば、あなたは走り出す準備と最後まで走り抜く準備ができたことになります。
プログラムの多くの点が、その年の至る所で顔を出して来て、首尾一貫して努力するようにあなたに求めるでしょう。
そこでは忍耐が重要になります。
覚えていてください。
これは始まりに過ぎないのです――始まりです。
前進する中でも、こころに留めておいてください。
あなたが成功するためには、人々に、どのように学ぶべきなのかを学んでもらわなければなりません。
幸運を。
ご質問がありましたらご連絡ください!


お読み頂きどうもありがとうございました。

本記事は、以下の記事の翻訳です:
Security Culture has to be Intentional and Sustainable by Perry Carpenter on Infosecurity Blogs

To Perry and Kathy: Thank you so much for your kind permission and consideration for me to translate your post.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .