ニュース
» 2007年04月24日 07時30分 公開

いくら警告してもセキュリティ対策が進まない理由RSA Conference Japan 2007(3/3 ページ)

[高橋睦美,ITmedia]
前のページへ 1|2|3       

人はそもそも合理的じゃない

 「逃げなくちゃいけないことは分かっているのだが、分かっていてもやらない」というのも人間の特性です。心理学的には「認知的不協和」といいますが、頭では分かっていてもやらない、ということが人間には往々にしてあります。試験前夜になると、普段はやらないような掃除を始めてしまったりする、といった経験は皆さんにもあるでしょう?

 そして、分かっていることをやらないという矛盾を生めるために、いろいろと理由を見つけて正当化します。理由は簡単に見つけることができます。例えば津波警報が出ている場合でも「隣の家も逃げていないから」「前回も大丈夫だったから」といった具合に、逃げない現状を正当化するんです。そのほうがラクですしね。

 もう1つ、人には「正常化の偏見」という性質もあります。異常事態が起こっているのにそれを認めようとせず、「大丈夫だろう」と事態を楽観視する性質のことです。

 津波警報が出ても避難しない人々は、「何が何でも逃げないぞ」と決めていたわけではありません。正常化の偏見によって何となく大丈夫だろうと考え、「逃げる」という意志決定ができなかったにすぎないのです。

 つまり、みんな「逃げなくてはいけない」ということは分かっています。百も承知なのですが、避難するという意志決定ができないだけ。けっして防災意識が低いから逃げないわけではなく、高くない、ということなのです。

 こうした心理は誰にでもあります。そうした特性に合った方法として、ある地域では「率先避難者」という役割を設けました。この人たちの役割は、地震が来たら「大声を上げて逃げる」ことです。「隣の人が逃げないから、うちも逃げない」の逆で、この人たちにトリガーを引いてもらうことにより、最初は三々五々近所の人たちが、そのうちに地区全体の人が避難します。

 ほんのちょっとした工夫なんですが、こういう具合に、人間の特性にあった対策の仕方が必ずあるはずだと思うのです。情報セキュリティも同じで、「あなたが対策をしないことによって、社内全体に影響が出るのですよ」と、いくつかのテクニックを組み合わせることにより、有効な方法があるのではないかと思います。

 ポイントは、「人の気持ちになる」ということです。人には、外から見ていては分からないことがいっぱいあります。「内部観察」というのですが、まず相手の内側に入りこみ、その評価尺度を理解することが大事です。100人いれば100通りの考え方があり、人にはそれぞれ大事なことがあります。そうした相手の尺度を踏まえ、どうしたら自ら対策したいと思うようになるかを考えるのです。ダイレクトにこちらの価値観を押しつけても効果はありません。

人の特性を踏まえた新たな道を

 また、人間はリスクと向き合うのがうまくありません。

 物事には「オフェンス」と「ディフェンス」があります。このうちオフェンスというのは発展系ですね。行政で言えば、「公園を作りましょう」といった具合に夢を描けるので何かと進めやすい。

 けれどディフェンスは、対策をしたからといってマイナスがゼロになるだけで、効果は目に見えません。だから、行政でもそうですし、われわれもまた、生活の中であまりディフェンスはしたがりません。あってはならないことが起こって始めて対策を考えることになるわけです。

 警報が発せられた際の避難率は、回数を経るにつれて下がっています。例えば千島列島沖地震を見ると、1度目の避難率は13.2%だったのが、2回目は6.6%に下がってしまいました。一度目は平気だったからでしょう。その次も、その次の次も、逃げなくて平気かもしれません。でもいつか、「逃げなくてよかった」が「逃げておけばよかった」になる日がくるのです。

 ですから、警報が外れ、津波が来なかったことを怒るのではなく、「ああ外れてよかった」と思えるようにすることが大事だと思います。備えておきながらそれが機能しなかったことを「いいことだ」と思えるようにすることです。

 情報セキュリティもそうですよね。何も起こらないと、導入したソフトウェアの分だけ損したように思うかもしれません。けれど、そもそも保険というのは無駄になっていい。使うような事態があってはならないんです。

 危機に備えないというのは人のさがです。そこをどうやって乗り越えていくか――津波がきたそのときに「ああ、やっぱり逃げてよかった」と思える、その一回をどう勝ち取るかが勝負です。そのときに備え、本当に逃げる住民をいかにつくるか。分かっていることをどう行動させるか……。

 これは結局、人間の心との戦いです。防災も情報セキュリティもみんな同じことで、そこに気付かなければ何も進みません。いくら専門家といっても、対象はITではなく「人」です。合理的な行動を取れない人、人のさがというものを前提に、どうするかを考えていかなければならないと思います。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ