ルールを守らせるな、守りたくなる設計をせよ

「社員にセキュリティルールを順守させるにはどうすればいいか？」――多くの企業で聞かれる悩みですが、その問い自体が実は間違っているかもしれません。本当に効果的なセキュリティ対策は、“守らせる”のではなく“自然に守りたくなる”ように設計されたものです。人間中心設計(ヒューマンセンタードデザイン)の考え方を取り入れ、セキュリティと利便性を両立させることで、社員は意識せずとも安全な行動を取るようになります。本記事では、UX視点でのセキュリティルール作りと自動化・仕組み化のポイントを解説します。

「人間中心のセキュリティ設計」とは何か

従来の情報セキュリティはとかく「ルールで縛る」アプローチに陥りがちでした。ポリシーを定め、違反すれば注意・罰則…といった具合です。しかしこのやり方では、現場に不満や抵抗感が蓄積し、抜け道探しや形骸化を招きます。そこで注目されているのがセキュリティにおけるUX（ユーザーエクスペリエンス）です。すなわち、ユーザー（社員）が負担を感じず、むしろ進んで安全な行動を取れるような体験をデザインすることです。

Qiitaの記事で指摘されているように、良いセキュリティ対策には「ユーザーが守れる、そして守りたくなる仕組み」という特徴があります。例えば、複雑すぎるパスワードポリシーを押し付けた結果、ユーザーが付箋にパスワードを書いてモニターに貼る…という笑えない事態が起きます。これは、対策自体がUXを無視したために本末転倒な結果を招いた典型です。ユーザーは覚えられないから書くのであり、結局攻撃者にとって突破しやすい状態になっています。

人間中心設計のセキュリティでは、まず「人は面倒なことは回避したがる」という当たり前の前提に立ちます。安全対策の裏にある理由を理解できなければ、人は最も抵抗の少ない（＝楽な）道を選んでしまいます。したがって、ルール違反を責めるより先に、「なぜ守りにくいのか」をシステム側で解消するのが筋なのです。

積極的なセキュリティ文化では、全員が自分の役割を理解し、必要なリソースとモチベーションを与えられている状態だといいます。ここで重要なのが「必要なリソース」の部分で、社員が努力や我慢に頼らずとも安全策を講じられるツールや仕組みを提供することが肝となります。

実例：守りたくなるセキュリティデザイン

では具体的に、どのようにすれば「守りたくなる」セキュリティを実現できるのでしょうか。いくつか実例を挙げてみます。

• シングルサインオン（SSO）の導入
  • 複数システムのログインID/パスワードを統一・連携させ、一度の認証で社内の主要サービスを利用できるようにします。これにより、ユーザーは多数のパスワードを管理する負担から解放されます。結果として、強固な一組の認証情報をきちんと管理しさえすればよくなるため、セキュリティ強度（複雑なパスワード+多要素認証）と利便性が両立します。「全部バラバラだから」とパスワードをメモに書き留める必要もなくなり、一石二鳥です。
• パスワードマネージャーの社内展開
  • 上記SSOが難しい場合でも、企業向けパスワード管理ツールを導入して社員に配布すれば、長く複雑なパスワードを個人が無理して覚えずに済みます。実際、ある調査では情報漏えいの81%が弱いパスワードや盗まれたパスワードに起因するとの報告があります。パスワードマネージャーで自動生成・自動入力を使えば、社員はセキュアなパスワード運用をストレスなく実践できます。「強いパスワードを守れ」と言うより、ツールで「強いパスワードを楽に使える」ようにするわけです。
• 自動アップデートと強制ポリシー適用
  • 社員のPCやスマホのセキュリティパッチ適用をユーザー任せにせず、IT部門側で自動配信・インストールを行います。ユーザーに「アップデートしてください」と周知徹底する手間もなくなり、最新の安全状態が保たれた端末を使ってもらえます。また、デバイスの暗号化やスクリーンロック時間など安全設定はMDM（モバイルデバイス管理）等で一括強制します。ユーザー設定に委ねないことで、本人が意識しなくても組織全体のセキュリティ基準を満たせるようになります。
• 業務フローへのセキュリティ組み込み
  • 例えば機密資料をメール送信する際、自動的に暗号化して添付し、受信者だけが社内システム経由で復号できる仕組みにします。社員はいつも通りメールするだけで、あとは裏で安全措置が施されます。「暗号化しなさい」というルールを守らせるのではなく、「暗号化されるのが当たり前」の環境を用意するのです。これなら手間が増えず、むしろ「安心して送れる」と好評になるでしょう。
• わかりやすいポリシーと周知工夫
  • セキュリティポリシー自体も専門用語だらけ・冗長では敬遠されます。明確で簡潔なルールにし、現場で簡単に参照できる工夫をします（例えば机の前に貼る行動指針ポスター、チェックリスト配布、FAQサイト設置など）。ルールが現場にフィットし、いつでも確認できれば、「知らなかった」「難しくて理解できない」という言い訳も減り、自発的な順守につながります。

これらの例に共通するのは、「ユーザーの行動変容を促すのでなく、仕組み側で安全な道筋を用意する」点です。言い換えれば、セキュリティのデフォルト(初期状態)を安全側に設定し、ユーザーが余計なことをしなくても済むようにすることです。いちいち「○○しなさい」と命じなくとも、自然とそうなる状態を作るのが設計者・経営者の腕の見せ所なのです。

現場の声を取り入れ、摩擦を減らす

「守りたくなる設計」を実現するには、現場の声を丹念に拾うことが不可欠です。どんなに高邁なポリシーも、現実の業務にそぐわなければ絵に描いた餅。現場社員が日々どこでセキュリティとの摩擦を感じているか、ヒアリングやアンケートを通じて把握しましょう。例えば「申請が煩雑」「待ち時間が長い」「禁止されたので自己流の抜け道を使っている」などの声は宝の山です。そこにソリューションのヒントが眠っています。

実際にあった例ですが、毎回紙で提出させていた許可申請をまとめ出しOK・テンプレート利用OKに変えたところ、現場の不満が激減し遵守率が向上したケースがあります。これは、ルール策定側と現場の認識ギャップを埋め、負荷を下げるようルールを改善した好例です。「ルールだから守れ」ではなく、「どうすれば現場が守りやすいか？」と問い直せば、現場からも建設的なアイデアが出てきます。

経営層の役割として、こうした現場発の改善提案を歓迎し、試行の場を提供することが挙げられます。一部部署で新しいルールやツールを試してもらい、フィードバックを得て磨き上げてから全社展開するアプローチも有効です。現場を巻き込むことで「使えるセキュリティ対策」が育ち、導入時の抵抗も少なくなります。

さらに、人は忘れる生き物です。継続的なリマインドとトレーニングも欠かせません。せっかく良いルールでも、周知徹底が一度きりでは風化します。定期的な訓練（例えばフィッシング疑似メール演習など）や朝礼での短い復唱、eラーニングの活用などで「正しい行動習慣」を組織に染み込ませましょう。ただしこれも押し付け感を出さない工夫が大事です。ゲーム性を持たせたり、成功体験を褒めるなどポジティブなアプローチが望ましいでしょう。

「守らせる」から「守りたくなる」へ：経営が意識すべきこと

最後に、経営層が意識すべきポイントを整理します。情報セキュリティ対策は技術論だけでなく人間を中心に据えて設計することで初めて効果を発揮します。そのためには経営リーダー自らが「社員は重要な資産であり、最良のセキュリティパートナーである」という認識を持つことです。社員を信用せず締め付けるのでもなく、善意に丸投げするのでもなく、社員の力を引き出す設計を追求するのです。

「守りたくなる設計」を実現できれば、社員のセキュリティ意識も自然と向上します。セキュリティが“迷惑な強制”ではなく業務の一部・企業文化となれば、情報漏えいリスクは格段に下がります。実際、KnowBe4社が提唱するモデルでは、セキュリティ意識（Awareness）を高め行動変容（Behavior）を起こすことでカルチャー（Culture）醸成につながるとされています。まさに、小さな工夫の積み重ねで社員の行動が変わり、それが文化となって根付くのです。

経営者の皆さんには是非、「セキュリティ対策はユーザー体験である」との視点を持っていただきたいと思います。社内のセキュリティポリシーや手続きを点検し、「自分だったら進んで協力したいと思えるか？」と問い直してみてください。もし答えがNOなら、それは改善の好機です。セキュリティ担当と現場と経営が三位一体となり、“使いたくなる安全仕組み”をデザインする——それがこれからの情報セキュリティ経営の鍵となるでしょう。