セキュリティインシデントへの対応では、何を考えるべきか：FIRSTの国際会議が開催（2/2 ページ）

[中尾真二（JPCERT/CC），ITmedia]

リスクの現実をどのように認知するか――シュナイヤー氏

　セキュリティ界の有名人であるブルース・シュナイヤー氏の基調講演は（6月30日）、リスクや危険に対する認識の仕方として、感情（Feeling）とモデル（Model）と現実（Reality）という3つの視点からとらえた、新しいセキュリティの考え方を披露した。

英BTのCSTO（Chief Security Technology Officer）であるシュナイアー氏

　シュナイアー氏によれば、リスクや危険について、危険だと思っている状態（感情）と本当に危険な状態（現実）は全く違う状態であり、この違いを正確に把握することの重要性を指摘した。人間を含む動物は、本当に危険な状態は思考ではなく、反射的に反応して行動するという。うさぎはきつねを発見すると、それをきつねと認知するより前に逃げるなどの行動をとっているとの研究があると紹介した。人間も、大脳新皮質よりも先に、扁桃体という器官によって判断して行動していることがあるとも述べた。

　野生動物や原始的な生活では、このレベルの反応が生存に有利に働くので、大きな問題になることはないが、人間が進化し社会も複雑になってくると、そうでない思考的な判断の比重が高まるが、本質的に人間は、自発的なリスクを過小評価したり（自分は事故を起こさない、だまされるわけがない）、まれな事象や未知の事象のリスクを過大評価したりしてしまう。

　このような事実と認識のずれを把握するために「モデル」が利用されるが、このモデルも実は現実ではないので注意が必要だという。モデルは現実を限定的に投影したものだとすれば、それは「感情」に近いものであるとしている。モデルは合理的であり、科学的な手法によって確立されているため、「客観的だ」と思い込みやすいものの、モデルは「アジェンダ」によって左右されやすいという特質も持つ。

　このアジェンダとは、「多分こうだ」という予断や、「そうあるべき」というような指針である。モデルを作る側、利用する側それぞれのステークホルダーによってアジェンダも異なることが多い。そのため、例えばセキュリティ関連の事柄であれば、機能や技術ではなく「政治的」な理由によってポリシーや仕組みが定義されてしまうという。

　しかも、技術が新しい事実を生み、新しいモデルも提案する。それによって人々の感情もまた変わってくる。したがって、感情、モデル、現実の3者の状態は決して安定することなく動き続けるという（収斂しない）。

　セキュリティ担当者などは、まず、このような視点に立ってセキュリティやリスクの考え方を変える必要があると述べた。リスクを理解してもらうことや、セキュリティ対策への理解、賛同を得るためには技術的な側面だけでなく、人々は事実をどう認知しているのかという視点でとらえ、対処に当たる必要がある。

　また、感情、モデル、現実のバランスをいかにトレードオフしていくかが重要になってくるが、現実の動きとモデルの変化に比べて、人々の感情や考え方の変化が非常にゆっくりであるとも述べ、セキュリティの意識改革の難しさも指摘した。

過去のセキュリティニュース一覧はこちら