ゼロ円でできるセキュリティ対策 「認知バイアス」を改善する6つの実践的手法：認知バイアスで考えるサイバーセキュリティ

人間の意思決定に影響を及ぼす認知の偏り「認知バイアス」の観点からサイバーセキュリティを掘り下げる本連載。第2回は、認知バイアスを取り除き、セキュリティ対策を前に進めるために組織でできる実践的な手法を解説します。

[伊藤秀明，パーソルクロステクノロジー株式会社]

　認知バイアスの観点からサイバーセキュリティを掘り下げる本連載。前回は、認知バイアスがセキュリティにおいてどのようなリスクがあるか、どのような影響を及ぼすのかを事例を交えて解説しました。第2回となる本稿では、セキュリティ対策を阻む認知バイアスに組織としてどう対処するかを紹介します。

筆者紹介：伊藤秀明（パーソルクロステクノロジー　セキュリティ本部　シニアエキスパート）

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

認知バイアスへの対抗策？　鍵を握る“ナッジ理論”とその実践のコツ

　ナッジ理論とは、無意識に望ましい行動を促すための仕組みを設計する考え方です。この理論をセキュリティの分野に応用することで、意識的な努力を必要とせずに安全な行動を取れる環境を整えることが可能です。幾つかの実例を挙げてこの理論を解説していきましょう。

例1　社会的証明や損失回避の心理の利用

　人は「自分以外は既に対策している」「自分は損失を回避したい」と考えるものです。この心理を応用することでセキュリティ行動を促進できます。情報処理学会の研究によると、従業員に「Windows」のセキュリティパッチ適用を促すため、「他の社員の適用率」を電子メールで共有する実験をしたところ、パッチ適用率のわずかな上昇や特定グループで改善傾向が見られ、ナッジ手法の可能性が示唆されました。

　人は「平均以下」である状況や「周囲への悪影響をもたらす可能性を避けたい」という心理を持つため、自発的にセキュリティ行動を取る意欲が高まると考えられます。

例2　自発的な行動の変更を促す

　ユーザーの行動を矯正するのではなく、「ユーザーがセキュアな状況を自発的に選択した」というアプローチは非常に有効です。一部のサービスでは、アカウントのパスワードの文字列が短すぎると警告が表示されます。短いパスワードは不正アクセスを受けるリスクが高まり、こうした警告によってユーザーはその危険性を直感的に理解できます。

　短いパスワードを拒否するのではなく注意を挟むことで「パスワードを長くすることを自分が選択した」という状況を作り出します。結果としてアカウント侵害などの被害を未然に防ぎやすくなる上、ユーザーが段階的に関与したことでリスク意識を継続的に高め、結果的にセキュリティ向上につながります。

Googleにおけるパスワード設定の例（出典：GoogleのWebサイトから抜粋）

例3　デフォルト設定を利用する

　「Microsoft Office」はインターネットから取得したマクロ付きドキュメントを開いたとき、デフォルトでマクロが無効化されるように設計されています。

　この他、「iPhone」や「iPad」などの「iOS」のデバイスは、パスコードや「Face ID」でロックされている場合、常に暗号化されます。このように、ユーザーが特別な操作をしなくてもセキュリティリスクが大幅に下がり、「やらなければならない」状態ではなく「やめたいなら自分で変更する」という形をとることで、行動を自然と安全な方向に導けるわけです。

認知バイアスは教育で改善できる

　人間である以上、認知バイアスを完全に排除することは困難です。しかし自分の判断にバイアスが影響している可能性を認識することで、より慎重な意思決定ができるようになります。例えば緊急メールの指示に対して「これは本当に正しいのか」と立ち止まり、追加の確認を実施するなどがそれに当たります。

　この認識を育てるには、認知バイアスに関する教育が効果的です。例えば「過信バイアス」では「自分は攻撃の対象にならない」「攻撃を受けても気が付ける」という思い込みが攻撃者に利用される事例を共有します。また、異常を見過ごす危険性について具体例を通じて共有することで、従業員は日常業務でもバイアスの影響を自覚し、より合理的な判断を下せるようになるでしょう。以下で具体例を見ていきましょう。

例1　事例を使った学習

　半田病院のような具体的な事例を共有することで、認知バイアスがどのようにセキュリティリスクを助長するかを理解してもらいます。半田病院の場合、「閉域網だから安全」という過信がVPN装置の脆弱（ぜいじゃく）性を放置し、攻撃を受ける結果につながりました。このような過信や正常性バイアスが組織のリスク評価を曇らせる点を具体的に解説します。

　さらに、この事例を自組織に置き換えて議論し、同様のバイアスがどのような影響を与えるかを検討します。例えば、セキュリティ対策のチェック体制の強化や、不審な事象を共有する場を設けるといった具体的な改善策を議論することでバイアスの影響を軽減し、リスクを未然に防ぐ意識を高めます。事例を使った議論をするときは、以下の項目があると検討内容が整理しやすくなります

• 事件概要（日付や攻撃の種類《ランサムウェア、SQLインジェクションなど》、侵入の入口《フィッシングメール、脆弱なWebアプリケーションなど》）
• インシデント概要
• 即時対応アクション
• コミュニケーション戦略
• インシデント対策とインシデント後の対応
• 影響分析（短期的影響、長期的影響）
• 教訓

例2　シミュレーション

　フィッシングメールや疑わしいリンクに直面した際の模擬訓練を実施し、正常性バイアスや過信バイアスを克服するスキルを養います。訓練では、送信元アドレスの微妙な違いやリンク先URLの不自然さを見つける方法など、どの部分を疑うかを指導することに加え、異常を発見した際の報告手順を具体的に学びます。さらに、訓練終了後には、各参加者の判断ミスや改善点について個別にフィードバックし、どのような認知バイアスが働いていたかを具体的に説明します。このような訓練により、警戒心を高めるとともに、実践的な対応スキルを身に付けられます。

　Keepnetの2024年の報告によると、トレーニングをすることでセキュリティ関連リスクが70％削減されるとしています。包括的なトレーニングが組織全体のセキュリティ体制に重大な影響を与えるようです。この他、セキュリティ意識トレーニングによって17万ドル以上の潜在的な損失が節約され、組織のサイバーセキュリティ防御を強化する上で、トレーニングが財務上の利点と重要な役割を果たしていることが示されています。

異なる意見を尊重する組織文化を醸成しよう

　組織内で異なる意見や懸念が自由に言い合える文化を築くことは、認知バイアスによる意思決定の偏りを防ぐ鍵となります。

例1　セキュリティリスク報告の奨励

　セキュリティリスクの報告は組織が安全性を高め、リスクを軽減するために不可欠なプロセスです。従業員がインシデントを報告することで、迅速な対応が可能となり、被害の拡大を防ぐだけでなく、将来の予防策を講じるための情報を得られるでしょう。報告は軽微なインシデントや直接的に影響がないように見えても重要で、セキュリティ部門が気付いていなかったリスクの顕在化や、運営改善にもつながります。

　これをうまく実施するための考え方としてSIIM（Safety and Security Incident Information Management）があります。SIIMは、セキュリティインシデントに関する情報を収集・活用して組織の意思決定を支援するプロセスです。SIIMを活用することでリスク報告の文化を体系的に築けるようになります。SIIMの目標は以下の通りです。

• インシデントへの迅速な対応
• 従業員安全性向上のための教訓活用
• 運営状況理解とプログラム支援
• 戦略的意思決定への情報提供

行動変容は組織のサポートが不可欠

　挙げた例の一つ一つは小さな取り組みであり、即座に全ての問題を解決する特効薬ではありません。しかしこれらの積み重ねが組織全体の行動や文化を変える重要な一歩となります。

　人間の行動を変容させるには個人にその責任を押し付けるのではなく、「まずはハードルを越えさせる仕組みを組織が整える」ことが鍵となります。環境整備を通じて心理バイアスが引き起こすリスクを軽減し、一人一人が自然と適切な行動を取れるようになることが、組織のセキュリティ意識やパフォーマンスを長期的に向上させることにつながります。

　これまでは防御側にありがちな認知バイアスとそれに向けた対処方法を紹介しました。次回はサイバー攻撃者側にはどのような認知があるのかを解説していきましょう。