「イエスマンが出世」はセキュリティリスク 組織の心理に付け込む攻撃者：「心」を狙うサイバー犯罪者 その実態と対策とは【後編】

人の心理的な脆弱性を狙うサイバー攻撃が深刻化する中、「真面目で従順」であることを従業員に求めがちな国内企業の“常識”が、逆にセキュリティの弱点になり得るという。それはなぜなのか。求められる対策とは。

[鳥越武史，ITmedia]

　フィッシングをはじめとする「詐欺」の被害が深刻化する背景に、攻撃者の手口が人の「心」の脆弱（ぜいじゃく）性、つまり心理的な脆弱性を突く手法へとシフトしている実態があることは、前編で説明した通りだ。こうした脆弱性を突いて人をだますことは、攻撃者が企業のシステムに侵入したり、企業の内部関係者に不正な行為を実行させたりする主要な手段になっている。

　企業はシステムの脆弱性だけではなく、心理的な脆弱性にも目配りをしながら、適切なセキュリティ対策をあらためて考える必要がある。特に「『従業員が攻撃者にだまされて、結果的に不正行為をしてしまう』という事態をしっかりと考慮する必要がある」と、ラックの技術顧問を務める西本逸郎氏は指摘する。

　特に国内企業には、心理的な脆弱性による影響が深刻化しやすい土壌があるというのが、西本氏の見方だ。問題は、国内企業に根付く「企業文化」そのものにあるという。それはどのような意味なのか。巧妙化するサイバー攻撃から企業や従業員を守るために、セキュリティ担当者が検討すべきこととは。

「上司のイエスマンが出世」する企業文化がセキュリティ的に“駄目”な訳

企業文化がセキュリティ対策に及ぼす影響を指摘するラックの西本逸郎氏。本稿は業界関係者向けイベント「Japan IT Week 秋 2025」での西本氏の講演を基にした（写真は編集部撮影）

　セキュリティ対策に影響を及ぼし得る国内の企業文化として、西本氏が指摘するのが「メンバーシップ型雇用」だ。メンバーシップ型雇用は、企業への従業員の長期的な所属を前提とする雇用形態を指す。特定の職務（ジョブ）に限定せず、さまざまな部署を従業員に経験させることを特徴とする。

　国内企業は企業内での研修や異動を通じて、幅広い業務を担えるゼネラリストを育成してきた。終身雇用を前提とした長期的な人材育成を重視してきたからだ。高度経済成長期など、安定成長が続いて労働力が不足していた時代には、雇用を安定化しつつ、事業環境の変化に応じて従業員に役割を割り当てる仕組みは合理的だった。こうした事情から、メンバーシップ型雇用は国内企業に広く定着した。

　昨今のセキュリティ対策の基本となる「最小権限の原則」は、メンバーシップ型雇用との相性に課題がある。最小権限の原則は、従業員に対して、特定の職務遂行に必要な最小限の権限のみを付与することを指す。つまり従業員の役割や職務内容の明確さを前提とする考え方だ。

　メンバーシップ型雇用では、異動や兼務などで従業員の役割が流動的になりやすい。職務内容があいまいであり、かつ頻繁に変わることから「ある時点で、特定の従業員に必要な最小限の権限」を適切に維持することが、技術的にも運用的にも難しくなる。結果として企業は、将来的な異動や兼務を見越して広く権限を付与したり、役割の変更後も不要な権限を残し続けたりすることになる。

　権限の肥大化は、最小権限の原則との乖離（かいり）につながりやすく、従業員が本来アクセスすべきではないシステムやデータに触れる機会を生み出す。結果として、攻撃者にだまされた従業員の意図しない操作による被害が広がりやすくなる。もちろんメンバーシップ型雇用には、事業環境の変化に合わせて人材を配置できる強みがある。一方で権限管理の複雑化を招きやすい弱点は無視できない。従業員の心理的な脆弱性を突く攻撃者に対抗するためには、そうした負の側面に関する認識が欠かせない。

「真面目で従順」という美徳の裏返し

　「日本人には、上司や他人から言われたことを守りやすい気質がある」と西本氏は語る。全ての国内企業に当てはまるわけではないものの、国内企業では従業員に対して「真面目で、組織の命令に従順である」こと、やや乱暴に言えば“上司のイエスマン（指示に疑念を持ちにくい状態）”化を求めがちな傾向があるとの指摘がある。これはメンバーシップ型雇用と深く結び付いている。

　メンバーシップ型雇用では、企業は従業員を組織に所属させた上で、状況に応じて役割を割り当てる。そのため企業は、異動や役割変更に積極的に応じ、組織の方針に沿って行動できる従業員を重宝し、評価しやすくなる。こうした慣行は、従業員に対して企業文化への順応や誠実な業務遂行を強く求め、結果として「真面目で従順」という気質の形成に影響を与えたと考えられる。

　攻撃者にとっては、標的が真面目で従順なほど都合がよい。こうした気質を持つ人は、上司や経営層、あるいは警察や弁護士といった公的機関を装った偽の指示に対して、疑うことなく従ってしまう可能性があるからだ。真面目さや従順さそのものは悪ではなく、国内企業の競争力を支えてきた強みだと言える。だが攻撃者が人の心理的な脆弱性を突くようになり、こうした強みが新たなリスク要因になった。

心を狙うサイバー犯罪者にどう対抗すべきか　求められるセキュリティ対策の大転換

　西本氏は企業に対して「『従業員はだまされるものだ』という現実を、これからのセキュリティ対策の前提として受け入れるべきだ」と提唱する。どれほど優れたセキュリティ訓練を施しても、従業員にとって日々巧妙化する攻撃者の手口を完全に見抜くことは不可能に近い。真面目で従順な従業員ほど、業務に関わる指示を装ったメールや、権威をかたった要求にだまされてしまう可能性がある。

　だまされた従業員を「なぜ気付かなかったのだ」などと責め立てることは、インシデントの報告をためらわせる要因になる。結果としてインシデントの発見が遅れ、被害がさらに拡大しかねない。そもそも企業にとって「意図して採用して育てた“真面目で従順”な従業員が、攻撃者にだまされることを責めるのは、天に唾を吐くようなものだ」と西本氏は語り、自らが育てた気質を責めても解決にはつながらないと強調する。

　「真面目で従順」という気質にリスクがあるからといって、人の気質を変えることは容易ではない。むしろ国内企業の文化そのものが、こうした気質を強固に育ててきたという見方もできる。だからこそセキュリティ担当者にとっては、従業員を「責める」のではなく「守る」という視点が欠かせない。具体的には、仮に従業員がだまされてしまった場合でも、従業員がその事実を迅速に報告でき、企業全体で被害を最小限に食い止めるための体制整備が不可欠となる。

いまこそ取り組むべき「フォロワーシップセキュリティ」とは

　従業員が攻撃者にだまされることを前提としたセキュリティ対策は、どうすれば実現するのか。その指針として、西本氏は「フォロワーシップセキュリティ」を提唱する。フォロワーシップセキュリティは、従来のトップダウン型のセキュリティ対策とは一線を画す、従業員一人一人の自律性、主体性を基盤とした“全員参加”型セキュリティ対策の概念だ。

　フォロワーシップセキュリティの核心は、企業全体における「アンストラクチャー」への対処力の育成にある。アンストラクチャーとは、西本氏によれば不測の事態や想定外の出来事のことだ。規則的ではないサイバー攻撃に対処できる力こそが、アンストラクチャーへの対処力となる。その育成には、以下の3点が重要となると同氏は指摘する。

1. トップの指示待ちからの脱却
2. 全部門・全従業員の主体的な行動
3. 互いに協調し、脅威に立ち向かう文化

　セキュリティ担当者だけがセキュリティの責任を負う状況では、アンストラクチャーへの対処力を企業全体で育てることはできない。全ての従業員がセキュリティを「自分ごと」として捉え、想定外の事態に際して、現場の判断で自律的かつ協調的に動けるようにすることが大切だ。フォロワーシップセキュリティの目指す姿は、まさにそこにある。

　国内企業にとって、フォロワーシップセキュリティは全くの新しい概念というわけではない。西本氏はフォロワーシップセキュリティについて、日本に古くから根付く「自助、共助、公助」の概念に通じると説明する。まずは従業員一人一人が主体的に自分を守り（自助）、必要に応じて他の従業員と助け合い（共助）、それでも対処できない部分を企業全体で支える（公助）――。こうした考え方が、フォロワーシップセキュリティの根底を支える。

---

　人の認知や感情などの心理的プロセスが直接の攻撃対象になる「認知空間」が、サイバー攻撃の“主戦場”になった今、セキュリティ対策には明確な変化が必要になる。適切なセキュリティ製品・技術の導入だけではなく、無意識のうちに脅威を招き入れてしまう企業文化を変革することが重要だ。セキュリティ担当者には経営層も巻き込みながら、従業員一人一人が主体的に、かつ協調性をもってセキュリティを高める企業文化を醸成する役割が求められる。