やることはやってもなぜ事故が起きる？ 組織が繰り返す“失敗の正体”：認知バイアスで考えるサイバーセキュリティ

認知バイアスの危険性は、もはや多くの企業が理解しています。ただ、それでも事故はなくなりません。その理由は「知っているのに防げない」現実にあります。むしろ学んだ人ほど見落とす"死角"と、形だけの対策から脱却する術を伝授します。

[伊藤秀明，AIセキュリティ株式会社]

　認知バイアスの存在は、もはや広く知られています。多くの組織がバイアスの種類を知り、事例に触れ、対策の必要性を理解していますが、それでも同じ過ちは繰り返されます。「知っている」と「できている」の間にある溝は、想像以上に深いものです。

　認知バイアスの観点からサイバーセキュリティを掘り下げてきた本連載。最終回となる本稿では、「組織の中で実際に回す」ための実践策を提案します。

筆者紹介：伊藤秀明（AIセキュリティ株式会社　コンサルティング＆ソフトウェア事業統括本部 シニアマネージャー）

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

最も危ないのは「バイアスを学んだ人」

　読者の中にはこの連載を読んで「バイアスの重要性は理解した」と感じている方もいるかもしれません。しかし「自分はバイアスを知っているから大丈夫」という確信こそが、次の落とし穴です。心理学の研究で「バイアスの死角」と呼ばれる現象があり、バイアスの存在を学んだ人ほど「自分だけは影響を受けにくい」と過信してしまいます。

　筆者はコンサルティングの現場でこの現象を何度か目にしています。フィッシング研修の直後に「もう引っ掛からない」と自信を持った組織が、翌月に少し形を変えたビジネスメール詐欺（BEC）に遭いかけたというケースがありました。

明日から始められる4つの実践策

　では「知っている」から抜け出すために、組織は何をすべきでしょうか。4つの実践策を提案します。

実践1．人間に「判断させない」設計にする

　バイアス対策で最も有効なのは人間の判断を正すことではなく、判断する場面そのものを減らすことです。

　第10回で紹介したMGM Resorts事件が典型例です。ヘルプデスク担当者は、電話口の相手を「従業員だろう」と直感で信じ、「業務を止めちゃいけない」と焦り、10分でパスワードとMFA（多要素認証）をリセットしてしまいました。担当者の判断を責めても意味はありません。電話1本でリセットが完了する権限設計が問題なのです。

　「電話だけではリセットできない」「本人確認にはビデオ通話と社員証が必要」などの技術的制約があれば、担当者のバイアスに関係なく攻撃は成立しません。電子メールに添付されたファイルの自動検査、外部送金の複数人承認も同じ考え方です。認知を変えるより、環境を変えた方がはるかに確実です。

実践2．意思決定の「関所」にチェックを置く

　「意思決定の際、常にバイアスに気をつけましょう」と全ての従業員に求めるのは無理な話です。認知資源には限りがあり、日常業務で手いっぱいの現場に負荷を足しても疲弊するだけなのは明白です。

　そこで提案したいのが、意思決定の要所に「関所」を設けることです。セキュリティ施策の承認プロセスに、次の2項目を必須とする「バイアスレビュー」を組み込みます。

• この施策が失敗するなら、最もありえるシナリオは何か？　：「うまくいくはず」という楽観バイアスを崩すための問いです（第4回で紹介したプレモータム分析の簡易版）
• この施策の前提が崩れるのはどんな場合か？：　都合の良い情報ばかり集めてしまう確証バイアスに抵抗するための問いです

　前者で既知のリスクを洗い出し、後者で想定外のリスクを検討ができるようになります。検討事項は「事実」「影響範囲」「想定損失」「推奨アクション」の4項目にすることで判断の粒度をそろえ、「その他、気になること」の自由記述欄を加えることで現場だけが持つ直感・違和感も拾えるようになります。

実践3．仕組みに「有効期限」を付ける

　どんなプロセスも、回し続けるうちに形骸化します。第8回で取り上げた形骸化した研修と同じ構造です。「この仕組みは正しく回っているはずだ」という根拠の薄い安心感が現状維持バイアスを強め、プロセスの劣化に気付けなくなります。

　対策は「このレビュープロセスは1年後に廃止する。続けるなら再承認が必要」など、仕組みに有効期限を設けるというものです。再承認の際に「前回から何が変わったか」を言語化できれば、中身を検討しないまま惰性で更新されることが防げます。制度のデフォルトを「何もしなければ継続」から「何もしなければ停止」に反転させるわけです。第2回で紹介したナッジ理論の応用です。

　レビュープロセスの発動条件にも工夫が必要です。半年ごと、1年ごとなどの定期的な実施だけではなく「新しいツールを導入した」「組織体制が変わった」「同業他社でインシデントが起きた」といったイベントでもレビューを実施することで、環境の変化に応じた見直しが自然と組み込まれます。イベント駆動の発動条件を加えることで、変化が起きたタイミングで判断を問い直す習慣が根づきます。

実践4．バイアスへの「気付き」を成功体験にする

　仕組みが整っても、「バイアスを指摘する人＝面倒な人」という組織内の空気があると機能しません。必要なのは「バイアスがあること自体は恥ずかしくない」という認識の定着です。

　まず、経営層が自ら「私もバイアスにかかる」と公言します。トップが完璧を装うのをやめるだけで、組織の心理的安全性は一段上がります。次に、バイアスに気付いた事例を「ヒヤリハット」のように成功体験として社内で共有し、評価制度に「未然防止」を組み込みます。「何も起きなかった＝平和だった」ではなく「起きかけたが防いだ」を評価する仕組みがなければ防いだ人は報われません。たまたま攻撃されなかっただけの組織が「うちは安全だ」と思い続けてしまうという弊害も生まれてしまいます。

セキュリティは最初から「人間の話」だった

　この連載を通じて、防御者が陥るバイアス、攻撃者が悪用するバイアス、部門間の認知のズレ、AIが増幅する思考の偏りを見てきました。共通するのは、いずれも人間の認知の仕組みであり、完全には消せないという事実です。

　だからこそ目指すべきは「バイアスのない組織」ではなく「バイアスに気付き続ける組織」です。完全な解はありませんが、完全でないと分かっているからこそ穴を認識しながら運用できます。穴の存在を知っている組織は、同じ事態でも想定内として動くことができ、その差は組織のレジリエンスとなって現れます。

　バイアスは人間の弱さではなく特性です。第1回で「攻撃者はシステムではなく人間の心理を狙う」と書きましたが、本連載を通じてたどり着いた答えも同じです。環境設計・仕組み・文化の3つの層で、その特性に合った対策を組み込んでいく。セキュリティは最初から人間の問題なのです。

　本連載の知見が、皆さまの組織で「気付き続ける文化」を育てる一助となれば幸いです。