「経営層がセキュリティ対策に無理解または消極的」「従業員がセキュリティのルールや手順を守らない」このふたつの課題はセキュリティ管理者にとって、なんなら SDGs の課題一覧の中に加えてもいいくらい解決困難なものに違いない。
経営層は「そんな予算はない(それをやれば何か新しい売上が生まれたりコストが減ったりあるいは営業利益が増えたりするのか)」と眉を寄せるし、従業員は「そんなルールを守っていたら仕事にならない(そもそもおまえら間接業務スタッフの人件費を稼いでいるのはオレたち営業だ)」的な逆ギレすらかましかねない。それでもセキュリティ担当者は対策しなければならず、説得や啓発を続けなければならない。なんとかならないものか。
少なくとも「なぜ人はセキュリティ対策をしないのか?」という理由がわかれば、解決のきっかけや何らかのいとぐちが得られるかもしれない。今日お届けする記事はそんな研究成果である。
情報セキュリティ大学院大学 情報セキュリティ研究科 稲葉 緑 准教授がこの問題について調査・研究を行っている。セキュリティに対する意識が低い(意識はあっても実践が伴わない)のは「リスクを自分事として思っていない」のではないかと考え、その原因について研究を行った。昨年のガートナーセキュリティ&リスクマネジメントサミット2023 で行われた稲葉准教授の講演要旨を、当時の取材メモをもとに蔵出しでお届けする。
もはや社会常識として、組織とそこで働くスタッフがセキュリティのルール等を守らないことは一種の「通常運転」であり、その理由や背景について深く掘り下げることなどなくなっている。「予算がない」「ルールや規則は守らないもの」と片付けてしまっている。稲葉氏の講演は、当たり前とも思える「こうなってしまう」理由について、研究成果をもとに非常にうまく言語化してくれた。
● たとえ 8 割が被害を受けても、自分は被害に遭わない 2 割側だと思っている現象
あるセキュリティベンダーが実施したアンケート調査では、組織の 80 % がなんらかのセキュリティインシデントの経験をしているという。平均的な企業なら、セキュリティインシデントのインパクト、発生頻度も理解しているはずだ。セキュリティは重要だと、だれもが例外なく口にするだろう。にも拘わらず、他の会社や他の業種でセキュリティインシデントが発生しても「自分の組織は残りの 20 %だと思っている」と稲葉氏はいう。
事故はあくまで他人事であり、自分事として認識していない。つまり、人々は実際に起きている事故の世界と、自分会社や身の回りは別のものという異なる認知処理をしているということだ。
被害が自分に発生しているか、あるいは他社の被害を自分事としてとらえることができれば、おそらく「なにか考えておこう」「対策を実施しよう」ということになる。リスクは常に存在しており、実際に発生もする。それでも自分事として考えられないのはなぜか?
「対策には資源(予算・時間・人材)が必要で、それには上限がある。すべてのリスクに対応できない限り、捨てるリスクが発生する。そのため人々は無意識のうちにこのリスクは自社と関係ないと判断してしまう。リスクや事故を他人事として捉えているとこういった間違った判断をする(稲葉氏)」
ここまでは、別に新しいことを述べているわけではない。ごく一般的状況説明だ。稲葉氏の本題はここからだ。なぜ人はセキュリティリスクについて間違った判断をするのか。これについて稲葉氏は、そうなる判断ロジックと、その回避の難しさについて語った。
![日本のサイバー防衛の雄 富士通/株価下がったサイバー攻撃 下がらなかった攻撃 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/34576.jpg)
