Day 31　文化を「育て」、そして「変革」するということ　How Do We Grow and Transform Culture?

サイバー判断力によるヒューマン・ハードニング

» 2025/11/29

Day 31　文化を「育て」、そして「変革」するということ

"セキュリティ文化は"導入"するものではない。育てるものだ。"

昨日、私はとてもシンプルでありながら重要な問いを投げかけました。

「サイバーセキュリティ文化は、そもそも存在しているのか？」

そして今日は、もう一歩深い問いに進みます。

もし文化が存在するなら、それをどう"育て"、どう"変革"するのか？

文化は、まず"存在"しなければ始まらない

当たり前に聞こえるかもしれませんが、実は多くの組織には"文化そのもの"が根付いていません。

• 高い離職率
• 終わらない再編
• トップの頻繁な交代
• 毎年変わるミッションや方針

こうした状況では文化は育ちません。それどころか、芽生えた文化さえ消えてしまいます。

根が張る前の文化は、「変革」どころか、まず土壌を整える段階から始めなければなりません。森づくりと同じ。まずは"根を下ろせる土"が必要なのです。

文化には成熟度がある

文化は"ある／ない"だけではなく、段階的に成長します。

• 深く根を張った文化：強く、しなやかで、揺らぎにくい
• 芽生えたばかりの文化：期待はあるが、まだ不安定
• ほとんど存在しない文化：少しの嵐で吹き飛ぶ

文化は一本の木に似ています。

• 根＝価値観・信念・アイデンティティ（変わらない部分）
• 幹＝組織の構造やアイデンティティ（安定しているが適応可能）
• 枝葉＝行動・儀式・プロセス（もっとも変わりやすい）

そしてこれは、まるで「三匹の子豚」のお話にもよく似ています。

藁の家、木の家、レンガの家。

外から狼がやってきたとき、どの家が最も長く耐えられるでしょうか？

文化も同じです。

攻撃者（狼）が来たときに踏ん張れるだけの"家＝文化"をつくっているかどうか。

成熟しきっていない文化は、藁の家のように簡単に吹き飛ばされます。

一方で、深く根を張り、価値観と信念がしっかりした文化は、レンガの家のように揺るぎません。

セキュリティ文化における「家づくり」とは、

信念（根） → 行動（幹） → 儀式・習慣（枝葉）

という順番で積み上げていくこと。

"堅牢な文化"は、偶然ではなく、丁寧に積み重ねて作られていくものです。成熟度こそが、変革の「到達点」と「スピード」を決めます。

日本文化が良い例です。時代とともに変化しつつも、「敬意」「調和」「美意識」といった核（根）は揺るぎません。もし核が失われれば、それはもう「日本文化」ではなくなります。

セキュリティ文化も同じです。

核がなければ文化は育たない。核が崩れれば文化も崩れる。

最初のステップ：現在地を知ること

Alfawaz, Nelson & Kavoos（2010）は、人のセキュリティ行動を「Knowing-Doing」から「Not Knowing-Not Doing」まで、7段階に分類しました。（※昨日のブログ参照）

これにより次が可視化されます。

• 現状と理想のギャップ
• チームや部門ごとの差異
• 優先的に介入すべき領域

見えないものは変えられない。変革は"可視化"から始まる。

文化を動かす2つのレバー

Alfawazらは、文化変革には次の2つが不可欠だと述べています。

1. 環境要因の把握

安全な行動を促すもの、阻害しているものは何か？

例：

• ツールは使いやすいか
• 業務量が善意を押しつぶしていないか
• 良い行動は評価されているか
• リーダーは言行一致しているか

2. 戦略的マネジメント対応

内外の要因にどう介入するか？

例：

• 支援型のガバナンス
• 公正で一貫したルール運用
• 心に届くコミュニケーション

この2つがなければ、変革は表面的になります。

それは文化ではなく、"コンプライアンス演劇"に過ぎません。

どれだけ化粧しても、攻撃者には一瞬で見抜かれます。

文化の表層と深層：何が変わり、何が変わらないのか

Hallの「文化の氷山モデル」をセキュリティに応用すると、以下のように整理できます。

表層（Visible）

• 行動
• プロセス
• 研修
• 通知

深層（Invisible）

• 信念
• 暗黙のルール
• 当たり前の感覚
• 心理的安全性
• 所有感
• 誇り

深層が変わらなければ、表層は長続きしません。

監視をやめた瞬間、行動は元に戻ります。

文化は"下"から変わり、"上"に現れるのは最後です。

文化変革のドミノ効果

研究と実務経験から、私は「Security Culture Transformation Domino Effect」を提案しています。

STEP 1 所有感と気づきを育てる

「セキュリティはITの仕事」から
「セキュリティは私たち全員の仕事」へ。
リスクを直感的に感じ取る力を育てる。

STEP 2 深層文化の変化（信念・価値）

セキュリティが"自分ごと"になる。
守ることへの責任感と誇りが生まれる。

STEP 3 表層文化の変化（行動）

報告が増える

ルールが自然に守られる

不審な行動が共有される

インシデントが「学びの場」になる

順番がすべてです。行動の強制から始めれば文化は壊れます。
信念から始めれば、行動は必ず後から追いつきます。

セキュリティ文化を育てる5つの実践ステップ

1. 簡潔で現実的なセキュリティポリシーをつくる

読まれないポリシーは文化の敵。

2. トップの"本気のコミットメント"を得る

予算、時間、評価指標、そして見える支援。

3. 所有感を IT → 全組織 に移す

セキュリティは部署ではなく"姿勢"。

4. 多層的な教育と実践を組み合わせる

• 個人：基礎学習
• チーム：実践的ワークショップ
• 全社：訓練・ストーリーテリング

5. 測定 → モニタリング → 改善 を続ける

測ることをやめた瞬間、文化は劣化する。

文化変革は終わらない旅

ここまで、私たちは文化というものの「育て方」と「変革のメカニズム」から見つめてきました。

文化がなぜ一朝一夕には変わらず、なぜ深い層からしか変わらないのか。

そして、その変革は"終わりのない旅"であることを確認してきました。

しかし、文化について語るとき、もう一つ欠かせない重要な視点があります。それは―

「文化には、変わるべき部分と、決して変えてはならない"核"がある」ということ。

国の文化も、組織の文化も、サイバー空間の文化も、セキュリティ文化も同じです。枝葉は変化し、適応し、進化していくべきですが、核（core）を失った瞬間、それはもはや文化ではなくなってしまう。

Krishna（2010）、Schlienger（2007/2018）はこう述べています。

「セキュリティ文化は、一度つくって終わりではない。」

Plan → Do → Act → Check のサイクルで 常に育て、整え、適応させ続けなければならない。

なぜなら：

• 脅威は変わり
• 人は変わり
• 組織は変わり
• 技術は変わる

文化も共に進化しなければ、生き残れません。

明日は、これまで議論してきた 国民文化 → 組織文化 → サイバー文化 → セキュリティ文化 を総合的に振り返りこの章のまとめていきます。

ーーー

Day 31 How Do We Grow and Transform Culture?

Security Culture Is Not Installed. It Is Cultivated.

Yesterday, I explored a deceptively simple question:
Does cybersecurity culture actually exist?

Today, we face a harder question:

If it exists, how do we grow it and how do we transform it?

Culture Must Exist Before It Can Change

It may sound obvious, but not every organization possesses a real culture.

• High turnover
• Endless reorganizations
• Constant leadership changes
• A mission that shifts every year

These conditions prevent culture from forming or worse, they erase it.

A culture that never had time to take root cannot be "transformed."
It must first be established, like preparing soil before planting a forest.

Culture Has Maturity Levels

Culture isn't binary. It grows in phases:

Some cultures have deep roots -- resilient, weathered, hard to shake
Some are seedlings -- young, promising, but fragile
Some barely exist -- one storm away from disappearing

This maturity level determines how far and how fast culture can change.

Think of culture like a tree:

The roots = Core values, identity, beliefs (unchangeable)
The trunk = Organizational identity and structure (stable but adaptable)
The branches = Behaviors, rituals, processes (flexible, evolving)

The roots determine resilience

Japanese culture is a perfect example.

It constantly evolves, yet its core , respect, harmony, aesthetic sensibilities, remains intact.
If that core disappeared, we would no longer recognize it as "Japanese" culture.

Security culture is no different:

Without a core, culture cannot grow.
When the core collapses, culture collapses.

The First Step: Knowing Where You Stand

Alfawaz, Nelson & Kavoos (2010) showed that security behavior can be mapped across seven modes from "Knowing-Doing" to "Not Knowing-Not Doing." (see yesterday's blog)

This mapping reveals:

• The gap between current and desired behavior
• Differences across teams, units, and departments
• Where interventions are most needed

You cannot change a culture you cannot see. The transformation begins with clarity.

Transformation begins with clarity.
No map = no direction.

The Two Levers That Move Culture

According to Alfawaz et al., cultural transformation depends on two essential levers:

1. Identify environmental factors

What encourages or inhibits secure behaviour?
(Examples: tools, workload, incentives, leadership tone)

Examples:

• Are tools intuitive or frustrating?
• Does workload crush good intentions?
• Are secure behaviors rewarded or ignored?
• Does leadership model what they preach?

2. Deploy strategic management responses

How do we address both internal and external factors affecting security?
(Examples: governance, enforcement, communication consistency)

Examples:

• Governance that supports (not just polices)
• Enforcement that's fair and consistent
• Communication that actually lands

Without these two levers, change remains cosmetic.

We get compliance theater, not culture.

No matter how we make up, attackers can see through.

The Iceberg: What Changes and What Doesn't

Adapting Hall's cultural iceberg to security, we see two layers:

Visible Layer (surface culture)

• Behaviour
• Procedures
• Training
• Notifications
• Invisible Layer (deep culture)
• Beliefs
• Norms

"What we take for granted"

• Psychological safety
• Sense of ownership
• Shared meaning and pride

If the deep layer does not change, the surface cannot hold.

We can mandate behaviors all day long.

But if people don't believe security matters?

The moment we stop watching, compliance evaporates.

Culture changes at the bottom first.

Behavior changes at the top last.

The Domino Effect of Culture Transformation

From research and practice, I propose a model I call the Security Culture Transformation Domino Effect.

STEP 1 -- Grow Ownership & Awareness

Shift the mindset from "security is IT's job" to "security is our job." Develop intuitive risk awareness.

Develop intuitive risk awareness.
Make security feel personal, not bureaucratic.

STEP 2 -- Deep Culture Shifts (beliefs, values)

Security becomes personally meaningful. People feel responsible for protecting the organisation. It's not about rules, it's about identity and pride.

STEP 3 -- Surface Culture Changes (visible behaviour)

• Reporting increases
• Rules are followed
• Suspicious activity is shared
• Incidents become learning experiences, not blame sessions

The order matters

If we start by forcing behaviour (Step 3), culture breaks. If we start with belief (Step 1), behaviour eventually follows.

This is why "mandatory training" alone doesn't work.
You can't guilt or scare people into culture.

The Five Practical Steps for Building Security Culture

1. Craft a concise, realistic security policy

Unreadable policies are culture-killers. Make it clear. Make it human. Make it useful.

2. Secure genuine top management commitment

Not just lip service.
Real commitment means: budget, time, evaluation metrics, and visible support.

3. Shift ownership from IT → the entire organization

Integrate risk awareness into every role.
Security isn't a department. It's a mindset.

4. Layered education and practice

• Individuals: Mandatory e-learning (baseline knowledge)
• Teams: Hands-on workshops (context-specific skills)
• Organization-wide: Newsletters, phishing simulations, storytelling campaigns

5. Measure, monitor, and improve continuously

The moment measurement stops, culture deteriorates.
What gets measured gets valued.

Culture Change Is Gradual -- and Never Ends

Krishna (2010) and Schlienger (2007/2018) argue:

Security culture, like organizational culture, can never be created "once and for all."
It must be continuously nurtured, adjusted, and renewed.

This follows the PDAC cycle (Plan → Do → Act → Check):

Plan - Assess current culture, define the target culture

Do - Implement changes

Act - Learn, adapt, refine

Check - Monitor and measure

Why the cycle never ends:

• Threats change
• People change
• Organizations change
• Technology changes

Culture must evolve with them--or it dies.

The Paradox: Culture Must Evolve, But Its Core Must Never Break

Culture contains a paradox:

Some elements must change for survival

Some elements must never change for identity

Change the branches -- but not the roots.
Evolve practices -- but not purpose.
Update procedures -- but keep the values that define who you are.

Culture survives through adaptation.
Culture remains through its unbroken core.

References

Alfawaz, S., Nelson, K., & Kavoos, M. (2010). Information security culture : A Behaviour Compliance Conceptual Framework, 105(Aisc).

Kramer, H. E. (1979). The cultural environment of international business. Industrial Marketing Management, 8(2), 181. https://doi.org/10.1016/0019-8501(79)90067-1

Krishna, M. (2010). A Methodology for Measuring Information Security Maturity in Norwegian and Indian MSME's with special focus on people factor. Gjøvik University College.