Day29 文化とサイバーセキュリティはどう関係するのか? How Does Culture Relate to Cybersecurity?
Day29 文化とサイバーセキュリティはどう関係するのか?
"文化なきセキュリティは、空回りする。"
以前、文化を「チョコレート・ファウンテン」に例えました。表面に見えるのは一部。
本当の流れを決めているのは、水面下の"見えない力"。
実はサイバーセキュリティもまったく同じです。
セキュリティには、"文化"という深い力が働いています。
しかも、その影響は単純ではなく、驚くほど複雑です。
組織文化は、セキュリティ行動を左右する
多くの研究がこう示しています。組織文化が変われば、セキュリティの強さも変わる。
ところが、研究によって結論は真逆になることすらあります。例えば、Ebrahimi & Nini(2012)と Chang & Lin(2007)は、まったく反対の結果を出しました。
なぜか?
理由は簡単。
文化は"ラベル"では語れないから。
文化には、
- 価値観
- 空気
- 暗黙のルール
- 行動パターン
といった見えないレイヤーが重なっています。1つの指標で割り切れるものではない。
核心は、「本気でそう思っているか」
Ruighaver ら(2006)をはじめ、多くの研究者が導いた答えはただひとつ。
セキュリティを動かす最大の力は、
"セキュリティは本当に重要だ"という信念。
スローガンではない。ポスターでも研修でもない。
トップが何を"本気で"信じているか。
ここが揺らいだ瞬間、組織には矛盾が生まれます。
表向きは
「セキュリティは大事だ」
でも裏側では、
- 予算が出ない
- 評価されない
- リスクを測らない
- コスト扱い
文化はこう語り始めます。
「本当は大事じゃない。」
社員は必ず気づきます。
そして組織は、場当たり的で弱いセキュリティへ向かっていく。
セキュリティ文化は、"仕組み"ではなく"感情"で動く
Greene & D'Arcy(2010)の研究は、象徴的な結果を示しました。
ルール遵守を高めるもの
- 適切な監視
- 仕事への満足感
特に、
- 非技術職
- IT以外の業界
- 勤続の短い社員
に強く表れる。
つまり、
「気持ちよく働けているか」
「自分は見守られていると感じられるか」
が、セキュリティ行動に直結する。とても人間的な結果です。そしてもうひとつの"意外な発見"。
「サポート」が逆効果になることもある
理由は2つ。
① 安心しすぎて油断する(Risk Homeostasis)
「大丈夫だろう」が油断を生む。
② 会社が守ってくれると思い込む(Backup Bias)
「最悪なんとかなる」がルールを弱める。
ここにある本質
セキュリティは、
- ルール
- 教育
- ポリシー
だけで作れるものではない。
鍵となるのは、
- 感情
- 安心感
- 自己効力感
- 心の動き
つまり、セキュリティの中心にあるのは"人間心理"である。
どんな制度が整っていても、人が「自分ごと」と感じなければ、行動は変わらない。
逆に、
- 大切にされている実感
- 自分の仕事に意味がある感覚
- 仲間意識や責任感
が育つと、人は驚くほど強い守り手になる。
セキュリティは、人の心から始まる。
セキュリティは、文化そのものだ。
文化が変わらなければ、どれだけ技術を積み上げても、組織の防御力は変わらない。
ルールでは人は動かない。文化が、人を動かす。
それでは、
「サイバーセキュリティ文化は、本当に存在するのか?」
「もし存在するなら、それを"変革"することはできるのか?」
その問いに明日は向き合ってみたいと思います。
ーー
How Does Culture Relate to Cybersecurity?
I explored how culture resembles a chocolate fountain, visible on the surface, but shaped entirely by the invisible mechanisms beneath it.
Today, I want to connect that idea to something essential in cybersecurity.
For years, researchers have studied how organisational culture influences cybersecurity behaviour, and the findings are fascinating -- and sometimes contradictory.
Let's walk through what the literature tells us, and then explore an insight I believe we often overlook.
Organisational Culture Influences Security -- But Not in One Single Direction
Several studies examine how different organisational culture types (based on Quinn's competing values framework) correlate with information security outcomes.
Ebrahimi & Nini (2012)
Using the same culture model, they found:
- Clan (cooperative) and Adhocracy (innovative) cultures
→ positively associated with information security - Hierarchy (stability-oriented) and Market (goal-oriented) cultures
→ not significantly associated, and sometimes disadvantageous
They argue that when organisations are overly rigid or purely target-driven, security suffers. In such environments, security professionals must execute "strategic manoeuvres" -- carefully designed policies, communication plans, and proactive measures to compensate for cultural resistance.
Chang & Lin (2007)
Their research in Taiwan produced almost opposite results:
- Hierarchy + Market cultures
→ strong effect on the core principles of confidentiality, integrity, availability, accountability - Clan + Adhocracy
→ little influence, and clan culture even correlated negatively with confidentiality
Their conclusion: strong control and structure may be necessary for certain security outcomes.
Why Are Results So Different?
Because Culture Is Multi-Layered -- Just Like the Chocolate Fountain
Culture is not simply "hierarchical" or "innovative." It is a system of beliefs, expectations, unstated assumptions, and lived behaviours.
That's why Ruighaver, Maynard & Chang (2006) examine culture across eight dimensions and find one central truth:
The single most important driver of security culture is the belief that "security matters."
Not slogans.
Not posters.
Not only end-user training.
It is what top management truly believes, not what they say in public.
They found that organisations often believe they have "good security," even when:
- they have never evaluated their security quality
- their risk assessments are superficial
- audits are symbolic
- funding is begrudgingly approved
- security is seen as a cost, not an investment
This creates a dangerous cultural contradiction:
"Security is important."
(But we won't invest in it.)
Employees pick up this inconsistency instantly.
In organisations with short-term vision or low perceived risk, security becomes reactive, ad-hoc, and inconsistent -- a predictable cultural outcome.
Security Is Also About People -- Motivation, Identity, Satisfaction
Another study, Greene & D'Arcy (2010), investigated factors shaping security compliance intention:
Positive influences:
- Computer monitoring (appropriate enforcement)
- Job satisfaction
- Particularly among:
- non-technical workers
- employees in non-IT industries
- people with shorter tenure
Unexpected finding:
Perceived organisational support
→ had a negative effect on security compliance.
Why?
Two likely explanations:
(1) Risk homeostasis
When people feel "safe," they take more risks -- a false sense of security.
(2) Back-up bias
Employees assume:
"Even if I don't follow the security rules, the organisation will protect me."
This highlights something essential:
Security is not built on authority alone.
It is built on people.
This is where real security lives -- and where real change must begin.
Security is culture.
If culture doesn't change, no amount of technology will strengthen an organisation's defense.
Rules do not move people. Culture does.
So we arrive at two profound questions:
"Does a cybersecurity culture truly exist?"
"And if it does--can we transform it?"
Tomorrow, we take on those questions directly.
References
Ebrahimi, Alireza Pour, P. F. N. (2012). Exploring the Type of Relationship between Information Security Management and Organizational Culture. International Journal of Information, Security and Systems Management, 1(1), 21-28.
Ruighaver, A. B., Maynard, S. B., & Chang, S. (2007). Organisational security culture: Extending the end-user perspective. Computers and Security, 26(1), 56-62. https://doi.org/10.1016/j.cose.2006.10.008
A.B Ruighaver, S.B. Maynard, S Chang. (2006). Organisational security culture: Extending the end-user perspective, Computers & Security, Volume 26, Issue1, February 2007, Pages 56-62, Retrieved from https://doi.org/10.1016/j.cose.2006.10.008
Greene, G., & D'Arcy, J. (2010). Assessing the impact of security culture and the employee-organization relationship in IS security compliance. 5th Annual Symposium on Information Assurance ( ASIA ' 10), 42-49.