1.インシデント原因の“主犯”は人

世界的調査では、95 ％のデータ侵害が人為的ミスに関係すると報告されています。たとえばメールの添付を誤送信したり、知らないリンクをクリックしたり――いずれも特別なハッキング技術は不要です[i]。

IBM の最新報告でも「IT システムの故障 23 ％」に対し「人為ミス 22 ％」、悪意ある攻撃と合わせると過半数を超えます[ii]。

つまり、高価な防御システムより“人の判断ミスを減らす仕組み” が投資対効果の面で先決となります。

2.日本企業に残る“構造的マネジメント”の壁

欧米では、状況変化に応じて組織体制を素早く組み替える「アドホックマネジメント」が浸透しています。一方、日本は縦割り・年功序列の名残が強く、“変化に弱いレガシー構造” が温存されがちです[iii]。

その結果、「新しい脅威を早く知っても、現場に伝わらない」「誰が決めるか不明で対策が遅れる」といった問題が繰り返されます。例えるなら、急カーブが続く山道を、古い大型バスで下り続けるようなものです。

3.SNS 時代、内部情報はすぐ外へ

社内のちょっとしたルール違反やヒヤリ・ハット事例が、SNS や匿名掲示板で拡散しやすい時代です。世界経済フォーラム（WEF）も「外部への情報流出が企業価値を大きく揺るがす」と警鐘を鳴らしています[iv]。

攻撃者は公開情報を足掛かりに、“穴”を探す手間を大幅に省略しています。小さなミスが「攻撃マニュアル」付きで海外の闇マーケットに共有される――そんな現実が既に起きています[v]。

4. “お金を払えば助けてくれる”攻撃者の分業体制

近年のサプライチェーン攻撃では、攻撃者同士が役割を分担し、「侵入口の貸出し」「マルウェアのレンタル」までビジネス化しています。米 OCC （通貨監督庁）の報告も、金融機関は取引先（ベンダー）経由の侵害に特に注意が必要だと強調します[vi]。

要するに、自社だけ頑丈でもチェーンの弱い輪を狙われる。取引先を含めた「リスクの見える化」が欠かせません。

5. 行動変容（Behavior Modification）が鍵

“知識テスト”型の集合研修では、受講者のパスワード使い回しは減りません。代わりに、日常業務の中で自然に行動を変える仕組みが有効です。

• 週１回、本物そっくりのフィッシングメールを送り、クリックしなかった人 に即時フィードバック
  （正しい判断を“その場で可視化”し称賛することで行動が習慣化しやすい。）
• 成功体験を可視化し、部署ごとにバッジを付与して「習慣化」を促す

行動科学のメタ分析でも、継続的・個別フィードバック型トレーニングは一括研修の 2.6 倍の効果と報告されています[vii] [viii]。

6. 今日からできる三つの一歩

1. 想定リスクの“絵姿”を共有
   月１回、役職を問わず 10 分の朝礼で「最新の脅威シナリオ」を図解し配布。
2. “ヒヤリ体験”を匿名で収集
   小さなミスを罰するのではなく共有して学ぶ文化を醸成。「恥ずかしい話を宝に変える」仕組みです。
3. ベンダーとの約束を見直す
   契約書に「侵害判明時は 24 時間以内に通知」「年 1 回の共同演習」を追加し、チェーン全体の強度を確保する。FDIC（米連邦預金保険公社）も同様の取り組みを推奨しています[ix]。

おわりに

技術投資はもちろん重要ですが、最後の守り手は「人の意識」と「行動」です。
まずは自社と取引先の“人の動き”を点検し、小さくても具体的な行動変容プログラムを始めてみてください。数カ月後、その効果は数字より先に「ヒヤリが減った」という肌感で現れるはずです。

---

[i]     95% of Data Breaches Tied to Human Error in 2024
https://www.infosecurity-magazine.com/news/data-breaches-human-error/

[ii]     Cost of a Data Breach Report 2024
https://wp.table.media/wp-content/uploads/2024/07/30132828/Cost-of-a-Data-Breach-Report-2024.pdf

[iii]    Rising sun in the cyber domain: Japan’s strategic shift toward active cyber defense
https://www.tandfonline.com/doi/full/10.1080/09512748.2024.2384447

[iv]    ESG Watch: Companies ‘complacent about cybercrime’, despite rise in risk from AI
https://www.reuters.com/sustainability/sustainable-finance-reporting/esg-watch-companies-complacent-about-cybercrime-despite-rise-risk-ai-2025-02-03/

[v]     Cyber threats impacting the financial sector in 2024 – focus on the main actors
https://blog.sekoia.io/cyber-threats-impacting-the-financial-sector-in-2024-focus-on-the-main-actors/

[vi]    Cybersecurity and Financial System Resilience Report
https://www.occ.treas.gov/publications-and-resources/publications/cybersecurity-and-financial-system-resilience/files/pub-2024-cybersecurity-report.pdf

[vii]    Driving behaviour change with cybersecurity awareness
https://www.sciencedirect.com/science/article/pii/S0167404824001597

[viii]   How Behavior-Based Cyber Security Training Works
https://hoxhunt.com/blog/behavior-based-cyber-security-training

[ix]    2024 Report on Cybersecurity and Resilience
https://www.fdic.gov/regulations/resources/cybersecurity/2024-cybersecurity-financial-system-resilience-report.pdf

---

※本内容の引用・転載を禁止します。