ニュース
「失敗を責める文化がリスクを隠ぺいする」――KnowBe4、サイバーレジリエンスを高める「安全文化」の重要性を強調
2026年3月9日 11:54
KnowBe4 Japan合同会社は6日、サイバーセキュリティとレジリエンス向上に関する説明会を開催した。その中で、KnowBe4 Japan 職務執行者社長の力一浩氏は、近年の情報漏えいインシデントの70~90%がヒューマンエラーに起因しているという実態を指摘。一方で、エラーが発生した際に罰則を設けるよりも、「教育やセキュリティ文化を構築することが重要だ」とした。
力氏は、日本組織におけるセキュリティ対策の現状について、技術的な城壁の構築が進む一方で、人の教育というヒューマンレイヤーへの対策が遅れていると話す。単なるルールの押し付けではなく、「なぜミスが起きるのかという背景を理解し、適切な行動を取れるような文化を作らなければならない」と力氏は語る。
従来のメール訓練やEラーニングは、結果の成否を追うのみで、組織のどこに弱みがあるかまでを可視化できていないという。これに対し、「KnowBe4は教育や訓練の定量化によって、今後の計画が立てられることが強みだ」と力氏。
KnowBe4のプラットフォームでは、訓練の結果を提示するだけでなく、各組織が利用しているエンドポイント製品と連携。有害サイトへのアクセスといった実際の行動ログと相関分析を行うことで、リスクを浮き彫りにする。また、訓練、教育、報告、分析をすべて統合し、ワンプラットフォームで提供している点も強みだという。
さらに力氏は、昨今のトレンドとして、AIの適切な利用に関するトレーニングの需要が急増していると指摘。「AIが人以上に仕事をしていく中で、いかに適切にAIを使うべきかというトレーニングが増えている。KnowBe4では、役職別や業務部門別など、さまざまなコンテンツでセキュリティ文化の醸成をサポートできる」(力氏)としている。
続いて、KnowBe4 Japan マーケティングマネージャーの広瀬努氏は、経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」について言及。同評価制度は、2026年10月に運用が開始される予定だ。
新制度では、受注側・発注側双方の負担を軽減するため、評価項目を設けてセキュリティ対策を星の数で可視化する。広瀬氏は、「これまであいまいだった基準が明確になることで、サプライチェーン全体の透明性が増す。これは単なる個社ごとの対策ではなく、サプライチェーン全体でセキュリティを守ろうという意思の表れで、経済社会全体のサイバーレジリエンス強化が期待される」と話す。
広瀬氏は、インシデントの原因として語られがちなVPNの脆弱性やアカウント詐取は、あくまで表面的な事象にすぎないと語る。その背景には、コスト効率を優先した運用や、現場の利便性を優先した結果などの組織要因が潜んでいるという。
「サイバーインシデントの場合、人体に危害を及ぼす被害にまで至っていないせいか、組織要因まで踏み込んだ調査が行われない傾向にある。しかし、本来はインシデントの要因を作業現場や組織の構造まで掘り下げて考えるべきだ」と広瀬氏は主張する。
特に日本企業の課題として挙げられるのが、ミスをした個人を責める懲罰主義だ。同社の調査では、偶発的な事故であっても約半数の企業で懲戒処分が発生しているという。
「失敗イコール能力がないととらえるのではなく、挑戦の結果として共有し、成功した部分は最大化すべき。心理的安全性がなければ、現場は問題を隠ぺいし、リスクが潜在化してしまう」と広瀬氏は指摘する。
その上で広瀬氏は、「安全文化」を人為的に作り上げることが重要だと語る。具体的には、細かいエラーや未然に防いだ例も正しく共有する「報告する文化」、報告を奨励し賞罰を公正に行う「公正な文化」、有事には現場に権限を分散する「柔軟な文化」、失敗から学び現状を改善し続ける「学習する文化」によって、安全文化が構築されるとしている。
2026年に注目すべきトレンドとして、広瀬氏は「サイバーレジリエンス」と「セキュリティ文化」を挙げる。AIエージェントの普及により予測困難な事象が増える中、一度壁を作れば終わりという従来の対策は通用しなくなるためだ。
「AI時代のセキュリティは、壁の高さを変えたり適用範囲をずらしたりと、柔軟かつ動的な調整が求められる。そのためには、IT部門だけでなく、経営者から現場までが一体となったセキュリティ文化の構築が鍵となる」(広瀬氏)
最後に広瀬氏は、「KnowBe4は失敗をゼロにすることを目指すのではなく、エラーが起きてもビジネスを止めないようにするセキュリティ文化の構築を支援していく」と述べた。