サイバーリスク・カルチャー・サーベイ

リスク軽減のための企業文化診断

サイバー侵害の大半は何らかのヒューマンエラーや行動（過失か、故意であるかに関わらず）に起因しており、多くの組織は、こうした従業員の行動や企業文化の側面が情報セキュリティリスクにつながっている可能性があるとして、その根本原因を特定しようとしています。WTWは、人的資本とサイバーリスク・ソリューションの専門知識を組み合わせ、人に関わるリスクを考察し、クライアントが従業員の脆弱性に対処できるよう支援します。

脆弱性は、組織全体に存在することもあれば、組織内のある一部に存在することもあります。リスク要因としては以下のようなものが挙げられます：

• サイバーリスクに対する従業員の意識と個人の責任感の欠如
• サイバーセキュリティ対策として組織がとっている措置に対する理解不足
• 「サイバーIQ」の低さによる、社内システムやプロセスに対するリスクを高める行動

従業員の行動がどのようにしてサイバーリスクを引き起こすのか

サイバー侵害を経験した企業は、従業員の日々の体験（従業員体験／EX）に関連する以下のような側面において課題をもつ傾向にあります。

• 顧客中心主義に基づく目的・パーパス（例：即答性、プロセスの最適化など）
• 意思決定やチームマネジメントにおいて、スピードと柔軟性が重要となる業務
• 従業員の声の傾聴や個人の尊重、チームワークの促進など、自律性のある人材の育成
• 給与と業績に連動した研修および能力開発の重視

企業のサイバーリスクへの備えやガバナンスに対する認識と、実際の従業員の行動は一致していません。¹ 脆弱性を調査し、意識を高め、従業員をコンプライアンスへの意識からコンプライアンスに沿った行動の実践へと移行させることによって初めて、組織はリスクを評価し、適切な予防措置を講じ、持続可能なエンゲージメントを実現することができます。

サイバーリスク・カルチャー・サーベイにより、従業員の脅威を特定する

WTWのサイバーリスク・カルチャー・サーベイは、従業員調査とサイバーリスク・マネジメントにおける豊富な経験を活かし、サイバーセキュリティに確保に向けた行動の頻度や職場におけるサイバーリスク課題への認識について、従業員から直接、洞察を収集するものです。

これにより、サイバーセキュリティに対する意識の現状を示すプロファイルを提供するとともに、サイバースマートな従業員を育成する道を切り開くための組織全体の従業員行動をご提案いたします。

リーダーシップへのキー・インサイトの提供

サーベイの結果をもとに、組織内部のリスク文化を明確に把握し、リーダーは以下の４つの方法で解決につながる断固としたアクションをとることができます：

1. 優先的に行うべき企業文化の変革を特定することに役立つデータ侵害のベンチマークを提供

グローバルデータベースの提供

2. 従業員から直接改善案を収集する

当社で使用している定型の設問は以下の通りです。

1. データプライバシーと情報セキュリティのリスクを管理するために、現在行っていることで、うまくいっていることは何ですか？
2. 今後12カ月間に、データプライバシーと情報セキュリティのリスクを低減するために、どのような行動を取るべきだと思いますか？

3. 従業員をセグメント化し、最も脆弱な従業員層を特定

全体評価の例：基準値を用いた脆弱性に関するセグメンテーション分析

4. 最適な行動を促す体験を見つけ出す

キードライバー設問例

実施オプション

本サーベイは、以下のオプションを含め、組織のニーズに合わせてカスタマイズすることが可能です。

• 脆弱性インデックス -　既存の従業員エンゲージメント調査に含まれ、ハイレベルなサイバーリスク・カルチャーのプロファイルを得ることができます。このインデックスは、ヒートマップを通じて最もサイバーに脆弱性を持つエリアを明らかにします。
• 自己記入式パルス・サーベイ - 組織全体または特定のグループを対象に実施することにより、組織の抱えるサイバーリスクの文化的要素をより詳細に調査することができます。
• フルサービス・サーベイ - カスタマイズ可能な100以上の設問で構成されるサーベイです。このサーベイは、組織のサイバーリスク・カルチャーをより深く掘り下げた評価を提供するもので、小・中規模から大規模までの組織に対応したコンサルティングや、その他のオプションが用意されています。

サイバーインシデントの半数以上が従業員に起因しています。従業員によるリスクを把握し、適切な対策を講じることで、サイバーに強い人材を育成しましょう。

出典

¹ Willis Towers Watson Employer and Employee Cyber Risk Surveys