【イベントレポート】人中心のセキュリティ新常識～テクノロジーに依存した対策の限界を超える～ | インサイト

セキュリティの技術的な対策を充実させても、フィッシング攻撃や内部不正はその対策を回避してくる。また資金や人材など必要なリソースがなくテクノロジーの実装が困難な組織も多い。2025年4月22日開催のセミナー「人中心のセキュリティ新常識～テクノロジーに依存した対策の限界を超える～」では、アビームコンサルティングダイレクターの砂田浩行とAironWorks株式会社日本代表執行役員の伊藤章博氏、そして日本セキュリティ心理学会代表理事の内田勝也氏をゲストに招き、それぞれの観点から技術的対策の限界と人を中心としたセキュリティの考え方について講演いただいた。

執筆者情報

砂田　浩行

Director
益田　彰拓

Senior Consultant

1. 心理的脆弱性が引き起こすインシデント

基調講演の冒頭で日本セキュリティ心理学会の内田氏は、「技術でセキュリティの問題を解決できると思うのは、問題も技術も理解していない」というブルース・シュナイアー^※1の言葉を引用しつつ、セキュリティ対策は技術だけの問題ではなく、人間の問題でもあると説いた。人間の持つ精神的な弱さや認識の限界、いわば心理的脆弱性はインシデントの発生と深く関係しており、人間の心理的脆弱性を解き明かし対策をすることで多くのインシデントは未然に防ぐことが可能だという。そこで内田氏は、「ソーシャルエンジニアリング」「ヒューマンエラー」「内部不正」の3種について説明した。

ソーシャルエンジニアリングにおいては、攻撃者は無知で警戒心の少ない者を欺き目的の行動へと誘導する。代表的な手法は、フィッシング詐欺やサポート詐欺である。これらの攻撃は、攻撃者はターゲットにとって信頼性の高いブランドや個人を騙って接近し、ターゲットの警戒心を弱体化することで攻撃を成功させる。ソーシャルエンジニアリングが成功する心理的な原因は手口に対する無知や無頓着、或いは自分は騙されないという慢心であるものの、とりわけ近年は攻撃手法が洗練され知識豊富な人間でも看破することが極めて困難といわれている。そのため対策としては、最新の手口を常に把握し警戒を怠らず、かつ被害にあった場合には隠すことなく担当組織に報告することである。
ヒューマンエラーとは、操作ミスや設定ミスなどの不注意が原因で意図せず生じる事故を指すが、ヒューマンエラーによる情報の漏えいや紛失等のインシデントは未だ無くならない。原因分析に際し、「緊張感の欠如」「注意力散漫」などと性格的な問題に帰着させがちだが、人間の認知能力は想像以上に脆弱であるということを理解すべきである。不安や疲労、あるいは一点に集中することでも人間の注意力は簡単に低下する。したがってヒューマンエラーの対策は本人の努力に依存せず、ダブルチェックや複数人による作業体制などの仕組み化やルール化することが必要だ。
また内部不正の原因にも心理的脆弱性は関わっており、人間は環境により誘惑や苦悩から不正を犯してしまう脆弱な面があり、「性弱説」と言っているが、日本の組織では、従業員は不正を犯さないという性善説的な前提を無意識に置いていることが、内部不正が解決されない原因の一つであるという。疑心暗鬼になれということでなく、人は環境により不正を働く前提を置き、不正行為の実行を断念させる環境や手順を整備することが大切で、『環境犯罪学』の研究対象にもなっている。
インシデントの発生には、悪意と過失の両方の場面で人の心理的脆弱性が影響している。したがって心理的脆弱性への対応を強化することで、技術的な対策の限界を解消し、あるいは技術的対策に依存せず、インシデントの予防を強化することが可能なのである。

※1 ブルース・シュナイアー：アメリカ合衆国の暗号技術・情報セキュリティの研究家・専門家

2. 心理的脆弱性を突くAIの攻撃に備える訓練

第二部では、人の脆弱性をつく攻撃の現状を踏まえ、組織は人の脆弱性にどのような戦略や手法で対策できるのかをテーマにディスカッションを実施した。

さまざまな技術的対策の開発が進展する昨今、攻撃者の間ではシステムの脆弱性を探索する攻撃よりも、人の心理的脆弱性を突くソーシャルエンジニアリングの方が、労力に比して成功の確率が高く、コストパフォーマンスが良いという認識が広がっている。そのような心理的脆弱性を突く詐欺的手法にAIが利用され、その中でもフィッシングメール攻撃に特化したAIサービス（Fraud as a Service）の登場によって、以前とは比較にならないほどに攻撃の精度が向上している。ターゲットに関連する公開情報をインターネット等から調査し、調査結果を基にターゲット用にパーソナライズしたメールを作成、送信までを全てAIで自動化しているのだ。では、AIが攻撃者を強化する状況に対し、防御側にはどのような打ち手が存在するのだろうか。この疑問に対しポイントとなるのは、実践的訓練の必要性である。
AironWorksの伊藤氏によると、従来日本の組織で実施されている多くの標的型攻撃訓練は、定型的な手口を学ぶこと、リスクを伴うリンク先のクリック率低減を目的としている。しかし、こうした訓練で攻撃を見破れたからと油断すると、AIによって個別にカスタマイズされた攻撃は検知するだけの能力を養うどころか反対にリスクを高めてしまう可能性があるという。またAIを用いて実際の攻撃をシミュレートし、ヒヤリハットの体験を通じて脅威を理解させる実践的訓練も求められる。なぜなら人間が学習をするとき、座学ではなく経験を通じて学ぶことが最も効果的とされているからである（ロミンガーの法則）^※2。そして何よりも重要なのは従業員がそのような体験を通じて、不審なメールやSMSなどをセキュリティ担当に連携する、いわば「気付きの報告」を習慣化することである。

※2 ロミンガーの法則：人は何かを学習する時、10％は座学で学び、20％は他者からの教育、残りの70％は経験によるものであるという、人材育成における教育効果の割合を示したもの

3. 防御リソースの格差を埋めるセキュリティ共同化

AI技術の進化で、より高度な能力を持つ攻撃者が増加する一方で、防御側の組織は情報システム部など少数の担当者にセキュリティ対応の役割が集中しているのが実情である。しかもセキュリティの専門人材を配置できているわけでは必ずしもない。つまりセキュリティ全般の課題として、コストを掛けられず十分な防御リソースを調えられない企業が多数存在し、とりわけ専門人材の欠落は多くの企業で問題となっている。こうした態勢の問題に対してアビームコンサルティングの砂田は、「セキュリティに必要な人材やノウハウを共同化することで解決を図ることが肝要」と話す。具体的には、同一業界の複数企業から資金と人材を集め、SOC （Security Operation Center）^※3やCSIRT（Computer Security Incident Response Team）^※4のようなセキュリティの中枢組織を業界共同で立上げることである。例えば、組織内では脆弱性診断や教育訓練のノウハウを組織間で共有し、参画企業においては共同組織に加入するコストを負担するだけで、セキュリティ態勢の構築に必要な人材とノウハウを共有してもらえるという構想だ。共同化によりあらゆる企業が従来よりも低コストで、セキュリティの強化に必要な人材等のリソースを整備することができ、これまで組織の規模によって生じていたセキュリティ態勢の格差を是正することが可能になる。これは業界全体だけでなく、共同化の取り組みが拡大することで国内のセキュリティ強化につながるという。

※3 Security Operation Center : 企業のシステムやネットワークを監視し、サイバー攻撃を検知、分析する組織
※4 Computer Security Incident Response Team : 企業で発生したセキュリティインシデント対応の中心となる組織

4. まとめ

本セミナーでは人の観点からセキュリティ対策を推進する必要性を説明した。技術によるセキュリティ対策が不要になることはないが、人への詐欺的攻撃で技術的対策を回避する攻撃者や、正当な権限を行使して技術的対策を通過する内部犯罪者が存在している状況では、現状の対策だけで十分と認識することは危険であり、人的なリスクを軽減する取り組みが同時に必要になる。実践的訓練を通じて社員一人一人の対応力を強化すると同時に、性弱説に基づき社員一人一人のリスクを把握し、リスクの大きさに応じた個別の対策を実施するところまで踏み込む必要があるだろう。海外においては上記のような個人のリスクへの対応も検討されているという。

当社は大手企業、中小企業組織のサイバーセキュリティの格差是正という社会課題を解決するため、業界ごとに、企業・コンサルティング・セキュリティベンダーで共同コンソーシアムを立ち上げ、課題の整理・解決策の立案・概念実証を推進している。リソース不足の組織において技術の実装や運用が困難な場合はセキュリティ人材の共同化を検討していただきたい。

アビームコンサルティングとAironWorksは、双方の実績と経験を活かしつつ、心理学のようなこれまでセキュリティと関連して考えられてこなかった新たな観点を加えた、より実践的で有意義な人的リスク対策のソリューションを開発し、クライアントのセキュリティ強化を支援するために、今後も様々な取り組みを続けていく方針である。

インサイトTOP