サイバーレジリエンスを最大限発揮する
企業文化を形作るにあたってのリーダーシップの役割
1980年代、General Motorsは、より燃料効率が高くより短い期間で自動車を生産できた日系自動車メーカーとの厳しい競争にさらされていました。これに対応するため、GMはトヨタと提携し、日本式のマネジメントテクニックとアメリカの労働力を組み合わせた共同生産工場を立ち上げました。マネジメントが生産における非効率性の原因となっていた複数の課題に取り組もうとした中、すぐに改善できる特定の項目が1つ見つかりました。それは、従業員を時間通りに出社させることでした。
GMでは、この協業の前、遅刻欠勤に関する非常に大きな問題を抱えていました。一方トヨタでは、製造ラインのすべての労働者が決定的に重要な役割を果たしており、秒単位で動いていました。労働者が遅れると、ライン全体が混乱しました。このジョイントベンチャーでは、直接的であると考えられる変化、つまり時間通りに作業を始めなければ減給する制度を導入したのです。
しかし、この変更は一本道ではありませんでした。始業時間を守らず、結果として何も起こらないことになれていた労働者には、一夜にしてその振る舞いを変えることが求められました。リーダーシップ側が理解していなかったのは、常態化した遅刻欠勤は多様かつ複数の側面を持っており、その理由にはマネジメントに対する信頼の欠如と、他の労働者からルールに従うことにかけられるプレッシャーがあったことでした。GMにとって、ポリシーの変更として始まったこの変化は、突如として組織全体の文化を変えることへと変容したのです。
企業がGMとトヨタの提携から得られる学びは数多くあります。事業の側面を改善または変化させたいと考える企業は、社員、プロセス、テクノロジーだけでなく、社員の行動の源となっている会社のコアバリューと文化をよく観察しなければなりません。この記事の目的は、企業文化を形成し、究極的には変えていくに当たり、リーダーシップが果たす役割、そしてこのことからの学びの何が貴社におけるサイバー耐性を高めるための変革の努力に役立つかを検証することになります。
組織の行動を推進させるリーダーシップの役割
キャリアを通して、筆者の私は、伝統的な石油ガス大手から勢いのあるテクノロジースタートアップまで、様々な企業のダイナミクスにおけるリーダーシップの影響を学んできました。これらの洞察は典型的に、事業の成果または社員のエンゲージメントへのリーダーシップの持つインパクトを理解するのに役立つと言えます。
しかし、企業内でのリーダーシップは、正しい行いから貪欲の崇拝まで、そして持続可能性の優先から大量生産および消費主義まで、その組織の構成員の行動にとって深く行き渡り強く根差す影響を持っています。
リーダーシップは、その企業の戦略の実行に必要な一連の価値観、行動、ダイナミクスとして定義できるでしょう。リーダーシップは単に経営層管理職の個人を指しているととらえる人が多い中、より広義に定義すれば、その企業のコアバリューをも含みます。企業は、リーダーシップが何を意味するかについて、リーダーとして見せることを期待される一連の能力および態度として明確にとらえることが多くなっています。
企業の価値は、多くの場合、その企業が運営される業界と市場によって形成されます。小売り企業は、顧客中心であることを価値とします。テクノロジー企業は、スピードとイノベーションを価値とします。企業がその価値について明確であれば、リーダーシップはそれに続き、リーダーの影響力を通して企業内部の文化を形成する道具となります。リーダーは、ビジョンを伝え、行動のロールモデルとなり、企業の価値観を強化し、未来を形作る決定を行います。シャイン*が述べたように、「リーダーは文化に影響は与えるだけではない。もともとは、その創造者である」のです。
では、これは企業文化の文脈では何を意味しているのでしょうか?シャインは、企業の文化を「問題解決において集団が学んだ思考パターンであり、これが集団の新たなメンバーに正しい問題に対する捉え方、考え方、感じ方として伝えられるもの」と定義しました。こうした思考パターンは、結果として特定の行動につながり、集団の他のメンバーがその行動を取ることで強化されていきます。
以下のモデルは、他人に見えるもの(行動)が、自分に対する程度より企業に対してはるかに深いルーツと意味を持つかを示したものです。
認識の仕方と考え方は、そのまま自分自身の行動と反応の仕方につながります。これが、文化が行動に影響し、それがやがて2番目の人格となり、変えることがが難しい理由なのです。
企業文化を変える
では、企業文化を変えることについて、私たちがGeneral Motorsから学べることは何でしょうか?
1. 行動の変化は、ある行動を禁止することだけでは起こらないことを認識する:GMのケースでの遅刻欠勤の行動を深掘りすると、その行動の根幹は根深いもので、まずこれを理解し対処する必要があるのは明白です。そうしなければ、個々の社員が結果的に旧来のやり方に戻ってしまう可能性があります。
2. 相反する価値観をすり合わせる:企業文化が、導入しようとしている新たな行動と相反する際、その程度を理解することが大切です。企業文化がスピード、俊敏性、そして「許可ではなく許しを求める」ものだとしたら、どうでしょうか。さらなるルール、手順、官僚主義を設けることは、その文化と相反していると見られないでしょうか。
3. あらゆる角度から変化に対応する:つまり、企業は社員が何をするか、そして何を考えるかの両方を変えなければなりません。氷山で例えれば、水面の��上と下の両方を見据えたイニシアチブとなります。
水面上では、企業は社員に適応してもらいたい行動を明確にし、その期待を明確かつ頻繁に伝える必要があります。
水面下では、企業はコアバリューを定義し、社員のマインドセットに統合させ、したがって企業でリーダーであることの意味の一部とする必要があります。
多くの企業では1点目については取り組みますが、2点目については取り組みません。
サイバーセキュリティを文化に注ぎ込む
サイバーセキュリティを、部門での取り組みから文化へと変革させる考え方は、今では潮流となっています。
IBM Securityの脅威インテリジェンス指数によると、サイバーセキュリティの侵害の原因の95%は、ヒューマンエラーによるものです。人間というのは非常に複雑で予測不可であるため、人為的な要因に対処することは、プロセスとテクノロジーを導入することよりはるかに難しくなります。
結果として、企業文化にサイバーレジリエ�ンスを組み込むには、マインドセットと行動の両方の移行が求められます。成功につながる文化変革イニシアチブの主要原則に基づき、企業のリーダーがサイバーセキュリティを実効化するのに役立つ、企業の指導者層のための8つのアイデアを紹介します。
リーダーは、サイバーセキュリティが整った文化を醸成する努力を支援しているか、阻害しているかのどちらかになります。真剣にとらえておらず、意思伝達がおろそかになっており、または安全ではない行動をしているのであれば、あなたの取り組みは無限の困難さを伴うでしょう。サイバーセキュリティについて話せるあらゆる機会を大切にとらえさせる影響力を持つリーダーを持つことは、ポリシーの効力の面で指数関数的な効果を持ちます。そうした意識を持った信頼できる人を探し、人の目に留まる提唱者となってもらうよう、密接に連携するようにしましょう。
「計測できれば、成し遂げられる」という格言があります。サイバーセキュリティを取り巻く指標で企業全体にオープンに共有できるものが何かを検討し、具体的な事例とストーリーとして頻繁に共有するようにしましょう。
古い考え方のパターンを変えるには、新たな考え方のパターンを通して導かれる必要があります。研修を評価するのであれば、eラーニングをクリックして終了する�だけでなく、参加者が複雑なシナリオに取り組み、ディスカッションや困難に悩む機会を設けてください。聞いただけのことは10%しか身につきませんが、実際にやってみたことの90%は身につくのです。
リーダーに、ストーリー、そしてサイバーインシデントの例と関連する人為的な行動について、プラスのものとマイナスのものの両面を共有してもらいましょう。あらゆるインシデントの最前線にリーダーが位置し、他者に実践させたい成果とロールモデルとなる行動を伝えるべきです。こうしたストーリーを共有する絶好のフォーラムとして、オールハンズ(全社)ミーティングまたは集会を活用してください。
マイナスの行動からプラスの行動へと枠組みを移行します。心理学の研究では、プラスの行動または前向きなフレーミング(解釈、意識付け)がプラスの自己認識によりつながりやすく、したがって追随される可能性が高いという結果が出ています(マイナスのフレーミングの例:「~してはいけない」、プラスのフレーミングの例:「~する」)。
特にセ��キュリティ部門外の社員であれば、潜在的な脅威または脆弱性を報告する個人について、サイバーセキュリティは全員の責任であることを強調したうえで、積極的に認知および表彰しましょう。
愛着と所属意識が生まれる大切なタイミングは通常、オンボーディング(入社研修)時となります。また、同時に、企業文化を紹介する絶好のタイミングでもあります。サイバーセキュリティポリシーとガイドラインについて、新入社員に入社1日目から紹介し、まずその大切さと期待される行動を理解してもらいましょう。
サイバーセキュリティの知識と実践について、採用プロセスでどのように考慮できるか検討してみてください。管理職として企業に入社し既に高いレベルのリスク認識を持っている人も、チームにおける正しい行動をより強化することになります。
Cloudflareで過ごしてきた中で、こうした原則が実際に企業にとってどのように機能しているかを第一線で目撃してきました。研修を例にとってお話しします。同僚が、セキュリティの意識向上に関する年次研修中、経営層がその隣で同様に参加するという何とも恐ろしい話を聞いたことがあります。しかしCloudflareでは、経営層メンバーは通常真っ先に研修を修了します。こうした些細な例からも、ポリシーがより実効的になることの支えとなります。
企業文化を再考する
変化が根差すのには、時間がかかります。GM/トヨタの提携において最初に躓いた後、実行した文化的変革の多くが最終的に定着し始め、前向きなインパクトを持つようになりました。
こうした当初の課題に面したときにGMが見せた忍耐力は、やる気をくじかれたりストレスを感じたりしているCISO(最高情報セキュリティ責任者)にとって、励みとなる学びとなります。振る舞いが簡単に変わるのであれば、その仕事(私自身の仕事なのですが)ははるかに簡単になります。サイバーセキュリティにかかわる人材については、表面的レベルよりはるかに深く見ていく必要があり、企業の核にあるものが何かを見る必要があります。
Cloudflareでは、サイバーセキュリティをコアバリューとして取り込んでおり、リーダーと社員の両方がセキュリティ重視の文化への参画を実現・奨励されています。プロセスとテクノロジーがすでに設けられていることで、リーダーは社員の面に注力でき、このサイバーレジリエンスが生み出す機会を深掘りしていくことができるのです。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
*エドガー・H・シャイン、2010年。組織文化とリーダーシップ
著者
Xiaolu Coenen — @xiaolucoenen
Cloudflare、グローバル・リーダーシップ・ディベロップメント責任者
記事の要点
この記事を読めば、以下が理解できます。
企業の変更管理での人材面でのアプローチ方法
変化を達成することを目的とするマインドセットと行動を変えるためにリーダーシップが果たすべき役割
サイバーレジリエンスの文化を強化するための8つのアイデア