セキュリティ担当者を追い詰める「努力と不安のジレンマ」 認知バイアスから解き明かす：ジレンマから見るサイバーセキュリティの要点

サイバーセキュリティの現場で生じる「努力と不安のジレンマ」。その背景には、人間の防衛本能が引き起こす認知バイアスがある。現役CISOが、組織を思考停止に陥らせる心理的メカニズムを解説し、現場を疲弊させない解決策を示す。

[三好一久，日本タタ・コンサルタンシー・サービシズ]

この連載について

ランサムウェアによるシステム全停止の真因は、セキュリティ投資の妥協や事業部門との対立など、平時に放置された「ジレンマ」にある。本連載は、現役CISOの視点から「予算配分」「組織のすれ違い」「認知バイアス」「AIや人材枯渇」といった実務の壁となるジレンマを解き明かす。

　日本は地震や津波、台風など、とにかく自然災害が多い。自然の圧倒的な破壊力を前に、人は「これまで大丈夫だったから」「緊急事態なんてまず起きないから」「たぶんたいしたことないから」「周りのみんなもそうしているから」と、どうしても思いたくなる。なぜなら人はどうしようもない理不尽や継続的なストレスにさらされると、心理的な自己防衛のため、さまざまな思い込みによってその不安を軽減させようとするからだ。

　これらは、いわゆる認知バイアスと呼ばれるものだ。しかし、災害対策、緊急時の行動において根拠のない楽観主義は通用しない。数多くの自然災害を経験してきた日本人はよく理解しているだろう。

　これまでも書いたように、サイバーセキュリティにもさまざまな理不尽が存在する。「不特定多数の見えない敵の存在」「完璧は得られないが、諦めることもできないという継続性」「有事における計り知れない影響度」といったものだ。

　これらは、私たちに無意識のストレスを与え、結果として、さまざまな認知バイアスに捕らわれやすくする。サイバーセキュリティも危機管理対策の一つであるからこそ、正しく対処できるかどうかは、認知バイアスを克服できるかどうかにかかっていると言っても過言ではない。

　たが、日本人はこの点において極めて弱い。人為的なもの、特に人から奪われる、侵略されるという“人の悪意によって引き起こされるもの”に対しては弱い傾向にある。島国という特性、そして、私たちの歴史上、体験が少なかったという側面も大きい。

　では、実際に私たちが捕らわれやすい認知バイアスと、それらが引き起こすジレンマを見ていこう。

「同調性バイアス」がもたらすジレンマ

　セキュリティというのは自社の危機管理であるから「自分達をどのように守るのか」「どこまで守るのか」というのは各社によって異なる。しかし、多くの企業が無意識に次のように考えてしまう。

A. 同業他社と同じくらいやっておけば大丈夫だろう（同調性バイアス）

　これは自分らだけで決める自信がないゆえに、自己弁護の気持ちから周囲の支えが欲しくなってしまう、いわゆる同調性バイアスの典型例だ。特に日本は文化的にも同調圧力が強い国なので、無意識に「他社と同じことをしなければ」と考えてしまう傾向も強い。しかし、セキュリティの目標や在り方を考える際は以下の考え方が基本だ。

B. 自社の事業の特性や資産・ネットワークの在り方から戦略を立てる

　もちろん、他社を参考にするのは良いことだ。しかし、他社と同水準を目指したところで、Bの本質とは離れてしまう。それに他社も次々とやられているのであれば、Aは失敗事例を模倣するだけになってしまう。にもかかわらず、実際私も多くの経営者から「同業他社との比較が欲しい」と頻繁に依頼さてきた。その気持ちも理由も十分に理解できるが、解決にはならない。

　他社を模倣することで、根拠のない“やっている感“を味わうことができるかもしれないが、それで敵に狙われなくなるわけでもない。説明責任としても十分とは言えず、単に戦略を放棄しているとしか言いようがない。ちなみに深刻なインシデントを体験している企業は、周りと比較している余裕などない。「自分たちは大丈夫だ」という真の自信を身に付けるためにも、バイアスにとらわれない取り組みが必要だ。

「確証バイアス」がもたらすジレンマ

　ランサムウェアが登場する前は「うちは大層な機密情報も持っていないし、個人情報も持っていないから攻撃者に狙われることもない。だからセキュリティにはそれほど金をかけなくてよい」という企業が製造業を中心に多かった。しかしそれも今や昔の話だ。「うちは狙われない」などと言うような企業は幸いにもほとんど見かけなくなった。

　しかし、いまだに個別の工場などでは「そこはネットワークが切り離されているから大丈夫」という話をよく聞く。しかし、それは本当に検証された事実なのだろうか。このような企業に限って、工場のDXが進んでおりWi-Fiが無秩序に飛び交っていたり、メンテナンス業者が保守回線から侵入されたりして阿鼻叫喚となるケースが目立つ。

A. 検証することもせずに「やられることはない」と決めつける（確証バイアス）

　このように、部分的な事実から根拠もなしに全体を決めつけようとするのは、確証バイアスの典型例だ。しかし、現実的は次の通りだ。

B. 万が一隙間があると、想定外の被害につながる可能性がある

　従って、セキュリティの担当者、責任者は、仮に誰かがAと言ったとしても、それに安易に流されてはならない。Bの可能性を捨てずに、確証バイアスでないかどうかを客観的に検証すべきだ。特に、今後は万が一不備があった場合、そのような隙間をAIが物量攻撃によって手当たり次第に攻撃してくるので、目も当てられなくなる。

「正常性バイアス」がもたらすジレンマ

　Security by Designという言葉がある。これはセキュリティは設計段階から組み込んでおくべきという技術的コンセプトで、住宅の耐震強度と似ている。ビルを建てた後に強度を高めようとしても、鉄骨を増やすのは難しい。そして同様に、ITシステムも後からセキュリティを実装するのは技術的にも面倒で費用もかかる。

　セキュリティにおいては、技術的な要素もさることながら、心理的な要素が大きく影響してくる。なぜなら、システムがひとたび動いてしまうと、後からセキュリティ担当者が機能追加を要求しても、なかなかそれが通らない。セキュリティを組み込むのに費用も手間もかかるからこそ、事業部側のシステムオーナーは次のように考えてしまう。

A. 既に問題なく動いているから今後も大丈夫なはずだ（正常性バイアス）

　リスクがあるのに問題ないとしてしまう、正常性バイアスの典型例だ。全く根拠のない思い込みであり、ただ楽観的に思考停止しているだけにすぎない。実際には以下の通りだ。

B. たまたま攻撃が来ていないだけであって安全とは言えない

　そして理不尽なことに、ひとたびインシデントが発生するとセキュリティ担当者が対応を迫られたり責任を追及されたりする。だからこそSecurity by Designの原則で、事前にセキュリティを組み込んでおきたい。

　仮に予算を渋られるのであれば「私は提言しました。もしセキュリティに投資をしないのであれば、万が一の時はあなたが責任を取ってくださいね」と言ってみるとよい。事前に責任の所在を明確にておくことで後々責任を負わなくて済むだろう。また、結局のところ日本人の管理職の多くは“事なかれ主義“だ。「それは困るから、投資しておくか」となるケースが多い。

「ポジティブ・ハロー効果」がもたらすジレンマ

　一般的にセキュリティ担当者は責任感が強い。日々努力もしている。だが、セキュリティは真摯に取り組めば取り組むほど、認知バイアスに陥りやすい。

A. これだけ頑張っているのだからきっと大丈夫だろう（ポジティブ・ハロー効果）

　Aにように、こちらの努力だけを評価して都合よく錯覚してしまう。これはポジティブ・ハロー効果の典型例だ。しかし、攻撃者はこちらの都合には全く無関係で無慈悲だ。

B. 攻撃者は、ただ弱点や隙間を狙って侵入してくる

　攻撃者からすると努力の過程や苦労など「知ったこっちゃない」に尽きるのだ。侵入できるところから入り、AIもそういった隙間を容赦なく攻めてくる。防御側は主観が混じるがゆえに努力が加点されやすい。一方で、サイバーセキュリティの現実はあくまで不備が許されない。減点主義だ。

努力と不安のジレンマ

　では、実際どこまでやれば大丈夫といえるのか。セキュリティ対策における「十分性の議論」というのは極めて難しい。知的で戦略的な敵が存在する限り、完璧な安全の確証は得られない。

努力は十分にしているvsやってもやっても自信が持てない

　これは構造的にどうしても発生するジレンマだ。しかし、これでは真摯に取り組めば取り組むほど、先が見えず疲弊していく。私たちはその事実をしっかり理解し、疲弊しない仕組みを作る必要がある。そのためセキュリティは実効性の観点からも精神衛生上の観点からも、積極的に割り切りをすると同時に、機械的なアプローチで取り組む方がよい。逆に言うと、実効性が不確かな量的なアプローチは悪手だ。

　これを技術的に言い換えると、「下手に監視などでごまかさず、多少不便であってもネットワークを切り離す」「ブラックリストではなく、ホワイトリストを極力使う」「オペレーションの例外は許さない」「さまざまな許可を一定期間で強制リセットする」といったことだ。このような白黒がはっきりした対策を積み重ねることが自信につながる。

　さて、「他社もそうしているから」「そこは狙われないだろう」「今まで問題なかったから」「これだけがんばっているのだから」。このような認知バイアスがいかに私たちの思考や判断に影響しているか、少しでも考えるきっかけとなれば幸いだ。

筆者紹介：三好一久（日本タタ・コンサルタンシー・サービシズ株式会社　最高情報セキュリティ責任者《CISO》兼 サイバーセキュリティ統括本部長）

イリノイ大学アーバナシャンペーン校卒業後、サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積む。大手コンサルティングファームにて上流コンサルティングを経験。その後、大手セキュリティ関連企業にてコンサルティング部隊を立ち上げ、CISOを務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年、日本TCSに入社。現在はCISOを務めながら、サイバーセキュリティ部門を率いている。