いくら警告してもセキュリティ対策が進まない理由:RSA Conference Japan 2007(3/3 ページ)
人はそもそも合理的じゃない
「逃げなくちゃいけないことは分かっているのだが、分かっていてもやらない」というのも人間の特性です。心理学的には「認知的不協和」といいますが、頭では分かっていてもやらない、ということが人間には往々にしてあります。試験前夜になると、普段はやらないような掃除を始めてしまったりする、といった経験は皆さんにもあるでしょう?
そして、分かっていることをやらないという矛盾を生めるために、いろいろと理由を見つけて正当化します。理由は簡単に見つけることができます。例えば津波警報が出ている場合でも「隣の家も逃げていないから」「前回も大丈夫だったから」といった具合に、逃げない現状を正当化するんです。そのほうがラクですしね。
もう1つ、人には「正常化の偏見」という性質もあります。異常事態が起こっているのにそれを認めようとせず、「大丈夫だろう」と事態を楽観視する性質のことです。
津波警報が出ても避難しない人々は、「何が何でも逃げないぞ」と決めていたわけではありません。正常化の偏見によって何となく大丈夫だろうと考え、「逃げる」という意志決定ができなかったにすぎないのです。
つまり、みんな「逃げなくてはいけない」ということは分かっています。百も承知なのですが、避難するという意志決定ができないだけ。けっして防災意識が低いから逃げないわけではなく、高くない、ということなのです。
こうした心理は誰にでもあります。そうした特性に合った方法として、ある地域では「率先避難者」という役割を設けました。この人たちの役割は、地震が来たら「大声を上げて逃げる」ことです。「隣の人が逃げないから、うちも逃げない」の逆で、この人たちにトリガーを引いてもらうことにより、最初は三々五々近所の人たちが、そのうちに地区全体の人が避難します。
ほんのちょっとした工夫なんですが、こういう具合に、人間の特性にあった対策の仕方が必ずあるはずだと思うのです。情報セキュリティも同じで、「あなたが対策をしないことによって、社内全体に影響が出るのですよ」と、いくつかのテクニックを組み合わせることにより、有効な方法があるのではないかと思います。
ポイントは、「人の気持ちになる」ということです。人には、外から見ていては分からないことがいっぱいあります。「内部観察」というのですが、まず相手の内側に入りこみ、その評価尺度を理解することが大事です。100人いれば100通りの考え方があり、人にはそれぞれ大事なことがあります。そうした相手の尺度を踏まえ、どうしたら自ら対策したいと思うようになるかを考えるのです。ダイレクトにこちらの価値観を押しつけても効果はありません。
人の特性を踏まえた新たな道を
また、人間はリスクと向き合うのがうまくありません。
物事には「オフェンス」と「ディフェンス」があります。このうちオフェンスというのは発展系ですね。行政で言えば、「公園を作りましょう」といった具合に夢を描けるので何かと進めやすい。
けれどディフェンスは、対策をしたからといってマイナスがゼロになるだけで、効果は目に見えません。だから、行政でもそうですし、われわれもまた、生活の中であまりディフェンスはしたがりません。あってはならないことが起こって始めて対策を考えることになるわけです。
警報が発せられた際の避難率は、回数を経るにつれて下がっています。例えば千島列島沖地震を見ると、1度目の避難率は13.2%だったのが、2回目は6.6%に下がってしまいました。一度目は平気だったからでしょう。その次も、その次の次も、逃げなくて平気かもしれません。でもいつか、「逃げなくてよかった」が「逃げておけばよかった」になる日がくるのです。
ですから、警報が外れ、津波が来なかったことを怒るのではなく、「ああ外れてよかった」と思えるようにすることが大事だと思います。備えておきながらそれが機能しなかったことを「いいことだ」と思えるようにすることです。
情報セキュリティもそうですよね。何も起こらないと、導入したソフトウェアの分だけ損したように思うかもしれません。けれど、そもそも保険というのは無駄になっていい。使うような事態があってはならないんです。
危機に備えないというのは人のさがです。そこをどうやって乗り越えていくか――津波がきたそのときに「ああ、やっぱり逃げてよかった」と思える、その一回をどう勝ち取るかが勝負です。そのときに備え、本当に逃げる住民をいかにつくるか。分かっていることをどう行動させるか……。
これは結局、人間の心との戦いです。防災も情報セキュリティもみんな同じことで、そこに気付かなければ何も進みません。いくら専門家といっても、対象はITではなく「人」です。合理的な行動を取れない人、人のさがというものを前提に、どうするかを考えていかなければならないと思います。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
ITmediaはアイティメディア株式会社の登録商標です。