コストとリスク、なぜ人間は悪い方を選択してしまうのか（1/2 ページ）

なぜ従業員はセキュリティリスクを「自分ごと」として考えられないのだろうか。それには人間の心理的な本能が大きく関わっている。情報セキュリティの専門家である稲葉 緑氏がその構造を解き明かし、リスクを「自分ごと」と考えてもらうためにできることを語った。

[吉田育代，ITmedia]

　IT部門やセキュリティ担当者の中には、シャドーITに代表される、従業員がセキュリティポリシーを守ってくれない事象に悩んでいる人はいないだろうか。そうした行為は人間がリスクを「自分ごと」として捉えられないという本能から来ているという。

　ガートナー ジャパン（以下、ガートナー）が主催する「ガートナー セキュリティ&リスク・マネジメント サミット」（2023年7月26日〜28日）のゲスト基調講演に稲葉 緑氏（情報セキュリティ大学院大学　情報セキュリティ研究科　准教授）が登壇。「サイバーリスクを自分事として捉えることの難しさ - サイバーセキュリティマネジメントを阻む内部の壁」と題した講演を実施した。

なぜ人間は「リスクを『自分ごと』として考えられない」のか？

　IT部門やセキュリティ担当者が抱える大きな悩みに、“人”の問題がある。従業員がセキュリティポリシーを守ってくれない、というものだ。なぜ守ってくれないのか。「主な原因の一つにリスクを『自分ごと』として考えられない、つまり事故や事象が自分や自社に起こるとは思えないという問題がある」と稲葉氏は指摘する。

情報セキュリティ大学院大学の稲葉 緑氏

　「リスクに対処するには投資（資源の利用）が必要」と稲葉氏は指摘する。投資には上限があり全てには対応できないため、捨てざるを得ないリスクが出てくる。人間は無意識のうちにリスクを「自分ごと」として捉えた際には投資を容認し、そうでなければ認めない、対策を実施しないという判断をしているという。

　稲葉氏は「だがリスクを『自分ごと』として考えられない人も事態の深刻さや発生頻度について分かっていないわけではない。客観的な確率の数値を理解することと、自分がその確率に入るかもしれないと考えること、この2つを人間は頭の中で別々に処理している。自分がその中に含まれると考えられないのは、人間の本能的な心理が関わっている」と語る。

人間がリスクを過小評価するのは普遍的な事象

　読者の中には「『自分ごと』と思えない人はレアケースなのではないか」と考える人もいるだろう。だが稲葉氏によると、これは決して珍しいケースではないという。ここから稲葉氏の研究を含めて3つの事例が示された。

　1つ目は“標的型攻撃メール訓練”に関するものだ。標的型攻撃メール訓練を実施する企業の従業員に「1年以内に、本物の攻撃メールが自分に届くと思いますか」と尋ねたところ、本物の標的型攻撃メールも受け取ったことがある人は、そうでない人より自分に本物の標的型攻撃メールが届く可能性を高く評価した。「この結果から、実際に危険や困難に直面した経験がないとリスクを『自分ごと』と捉えることは難しいということが分かる」（稲葉氏）

　2つ目は“システム設計”の事例だ。1989年および1994年、サンフランシスコ市（米国カリフォルニア州）で大地震が発生し、高速道路が倒壊した。日本の専門家が調査に赴き、「日本（の建築基準に則した設計）ではこのようなことは起こらない」と結論付けた。しかし1995年、阪神淡路大震災の発生で阪神高速道路が倒壊し、被害を受けた住民は訴訟を起こした。稲葉氏は「サンフランシスコで高速道路が倒壊したとき、なぜ『自分ごと』と捉えて検証しなかったのか」と問いを投げかける。

　3つ目は“原子力発電所の安全設計指針”に関するものだ。東日本大震災で福島第一原子力発電所において全交流電源喪失による炉心溶融が発生したが、これに安全設計指針の問題が寄与した可能性が指摘されている。国が主体となり、専門家がまとめた原子力発電所に関する安全設計指針（「発電用軽水型原子炉施設に関する安全設計審査指針」）がある。その27条では「原子炉施設は、短時間の全交流電源喪失に対して、原子炉を安全に停止し、かつ、停止後の冷却を確保できる設計であること」とある。

　しかしその後ただし書きが添えられており、「長期間にわたる全交流動力電源喪失は、送電線の復旧又は非常用交流電源設備の修復が期待できるので考慮する必要はない」とされている。このとき“長時間”は8時間と設定された。8時間とされたのは、それまで日本において8時間以上の全交流電源の喪失例がなかったからだ。将来に渡ってそれ以上の電源喪失が起こらないという根拠があったわけではない。ここでも実際に危険や困難に直面した経験がなければリスクを「自分ごと」と捉えることがいかに難しいかがよく見てとれる。人間がリスクを過小評価するのは普遍的な事象なのだ。