認知バイアスがサイバーセキュリティ対策を阻害する理由：同調性、確証、正常性、ハロー効果

これは自分らだけで決める自信がないゆえに、自己弁護の気持ちから周囲の支えが欲しくなってしまう、いわゆる同調性バイアスの典型例だ。特に日本は文化的にも同調圧力が強い国なので、無意識に「他社と同じことをしなければ」と考えてしまう傾向も強い。しかし、セキュリティの目標や在り方を考える際は以下の考え方が基本だ。

もちろん、他社を参考にするのは良いことだ。しかし、他社と同水準を目指したところで、Bの本質とは離れてしまう。それに他社も次々とやられているのであれば、Aは失敗事例を模倣するだけになってしまう。にもかかわらず、実際私も多くの経営者から「同業他社との比較が欲しい」と頻繁に依頼さてきた。その気持ちも理由も十分に理解できるが、解決にはならない。

他社を模倣することで、根拠のない“やっている感“を味わうことができるかもしれないが、それで敵に狙われなくなるわけでもない。説明責任としても十分とは言えず、単に戦略を放棄しているとしか言いようがない。ちなみに深刻なインシデントを体験している企業は、周りと比較している余裕などない。「自分たちは大丈夫だ」という真の自信を身に付けるためにも、バイアスにとらわれない取り組みが必要だ。

「確証バイアス」がもたらすジレンマ

ランサムウェアが登場する前は「うちは大層な機密情報も持っていないし、個人情報も持っていないから攻撃者に狙われることもない。だからセキュリティにはそれほど金をかけなくてよい」という企業が製造業を中心に多かった。しかしそれも今や昔の話だ。「うちは狙われない」などと言うような企業は幸いにもほとんど見かけなくなった。

しかし、いまだに個別の工場などでは「そこはネットワークが切り離されているから大丈夫」という話をよく聞く。しかし、それは本当に検証された事実なのだろうか。このような企業に限って、工場のDXが進んでおりWi-Fiが無秩序に飛び交っていたり、メンテナンス業者が保守回線から侵入されたりして阿鼻叫喚となるケースが目立つ。

このように、部分的な事実から根拠もなしに全体を決めつけようとするのは、確証バイアスの典型例だ。しかし、現実的は次の通りだ。

従って、セキュリティの担当者、責任者は、仮に誰かがAと言ったとしても、それに安易に流されてはならない。Bの可能性を捨てずに、確証バイアスでないかどうかを客観的に検証すべきだ。特に、今後は万が一不備があった場合、そのような隙間をAIが物量攻撃によって手当たり次第に攻撃してくるので、目も当てられなくなる。

「正常性バイアス」がもたらすジレンマ

Security by Designという言葉がある。これはセキュリティは設計段階から組み込んでおくべきという技術的コンセプトで、住宅の耐震強度と似ている。ビルを建てた後に強度を高めようとしても、鉄骨を増やすのは難しい。そして同様に、ITシステムも後からセキュリティを実装するのは技術的にも面倒で費用もかかる。

セキュリティにおいては、技術的な要素もさることながら、心理的な要素が大きく影響してくる。なぜなら、システムがひとたび動いてしまうと、後からセキュリティ担当者が機能追加を要求しても、なかなかそれが通らない。セキュリティを組み込むのに費用も手間もかかるからこそ、事業部側のシステムオーナーは次のように考えてしまう。

リスクがあるのに問題ないとしてしまう、正常性バイアスの典型例だ。全く根拠のない思い込みであり、ただ楽観的に思考停止しているだけにすぎない。実際には以下の通りだ。

そして理不尽なことに、ひとたびインシデントが発生するとセキュリティ担当者が対応を迫られたり責任を追及されたりする。だからこそSecurity by Designの原則で、事前にセキュリティを組み込んでおきたい。

仮に予算を渋られるのであれば「私は提言しました。もしセキュリティに投資をしないのであれば、万が一の時はあなたが責任を取ってくださいね」と言ってみるとよい。事前に責任の所在を明確にておくことで後々責任を負わなくて済むだろう。また、結局のところ日本人の管理職の多くは“事なかれ主義“だ。「それは困るから、投資しておくか」となるケースが多い。

「ポジティブ・ハロー効果」がもたらすジレンマ

一般的にセキュリティ担当者は責任感が強い。日々努力もしている。だが、セキュリティは真摯に取り組めば取り組むほど、認知バイアスに陥りやすい。

Aにように、こちらの努力だけを評価して都合よく錯覚してしまう。これはポジティブ・ハロー効果の典型例だ。しかし、攻撃者はこちらの都合には全く無関係で無慈悲だ。

攻撃者からすると努力の過程や苦労など「知ったこっちゃない」に尽きるのだ。侵入できるところから入り、AIもそういった隙間を容赦なく攻めてくる。防御側は主観が混じるがゆえに努力が加点されやすい。一方で、サイバーセキュリティの現実はあくまで不備が許されない。減点主義だ。

努力と不安のジレンマ

では、実際どこまでやれば大丈夫といえるのか。セキュリティ対策における「十分性の議論」というのは極めて難しい。知的で戦略的な敵が存在する限り、完璧な安全の確証は得られない。

これは構造的にどうしても発生するジレンマだ。しかし、これでは真摯に取り組めば取り組むほど、先が見えず疲弊していく。私たちはその事実をしっかり理解し、疲弊しない仕組みを作る必要がある。そのためセキュリティは実効性の観点からも精神衛生上の観点からも、積極的に割り切りをすると同時に、機械的なアプローチで取り組む方がよい。逆に言うと、実効性が不確かな量的なアプローチは悪手だ。

これを技術的に言い換えると、「下手に監視などでごまかさず、多少不便であってもネットワークを切り離す」「ブラックリストではなく、ホワイトリストを極力使う」「オペレーションの例外は許さない」「さまざまな許可を一定期間で強制リセットする」といったことだ。このような白黒がはっきりした対策を積み重ねることが自信につながる。

さて、「他社もそうしているから」「そこは狙われないだろう」「今まで問題なかったから」「これだけがんばっているのだから」。このような認知バイアスがいかに私たちの思考や判断に影響しているか、少しでも考えるきっかけとなれば幸いだ。