%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. セキュリティのデザイン
  4. セキュリティのデザイン:「正常性バイアス」の意識から「危険な状態」の意識に変える方法について

セキュリティのデザイン:「正常性バイアス」の意識から「危険な状態」の意識に変える方法について

  • LINEで送る
  • このエントリーをはてなブックマークに追加
セキュリティのデザイン:「正常性バイアス」の意識から「危険な状態」の意識に変える方法について

熱海 徹@SOMPO CYBER SECURITY | 2022年9月12日

皆さん、こんにちは

 SOMPO CYBER SECURITYでフェローを務める熱海(あつみ)です。

  今日のコラムは、前職NHKで取り組んできたセキュリティ対策の中で職員が「自分は大丈夫」と思う意識、つまり「正常性バイアス」の意識から「危険な状態」の意識に変える方法について、お話ししたいと思います。
※正常性バイアスは、「正常な範囲に納まっていると認識する」「心の平穏を守る」ための機能です。

はじめに

2010年ころのPC環境で情報セキュリティといえば、アンチウイルスソフトやファイヤーウォールが主流でした。当時はようやく一人1台のPCを所持できる時期だった記憶があります。今では当たり前ですが、結構共有PCを使っての運用も普通にありました(笑)

2013年3月に韓国で大規模なサイバーテロが起き、放送業界としての危機感を抱くとともに、同様の攻撃を受けた時に『防ぎきれるかどうか』を真剣に考えるようになりました。そうした思いを胸に、情シス部門に「情報セキュリティ対策グループ」の専門チームを立ち上げました。さらに通信と放送に特化した外部団体のISACに参入することを決め、放送業界全体のセキュリティ対策を真剣に考えるようになりました。

最悪の結果につながらないように対処方法を判断する人は誰?

制御系システムのセキュリティは、可用性を最大限確保するため運用上の制限が多いことが特徴です。
つまり、可用性を担保するためにセキュリティリスクをどこまで許容していいか、その判断が常につきまといます。
1つのシステムに様々な機能が組み込まれ、従来の専用コンピュータではなく、汎用コンピュータで成り立っていることから、更新プログラムや再起動が必要な環境であるにも関わらず、容易に実施出来ないのが実情なのです。

脆弱性が可能性として残されているシステムについて、いざというときにどのような影響が出るのか、明確な答えを得ることは難しいですが、そこをあえて想定し、最悪の結果につながらないように対処方法を判断する必要があります。
そして、それを決定するのは、CISOなのかCTOなのか。僕は「そうした手順こそ決定しておくことが重要」と考えます。

『入れて安心』ではなく、守る側も即時に同じ手法で対策を行うしかない

重要インフラのセキュリティ管理として大切なことは、サイバー攻撃が「発見されているか否か」にリスク判断の軸足を置くのではなく、攻撃が発生した際に起こりうる被害を想定し、発見できた「穴」を何らかの形で可能な限り早期に対処するという「方針を決めておくこと」が大切という事です。
特定のシステムや情報だけでなく、企業としての運用(事業継続)やレピュテーション(評判)を守ることが必要となるからです。

これまでの施策を振り返り、「今まで高額なセキュリティ対策を導入してきたことで、単に安心感を得てきただけなのではないか」と自問することがあります。それが本当に役に立ったのか、効果的に効率的にセキュリティに貢献できたのか、本当に意味があったのか…。攻撃者は、システムや組織に内在する脆弱性・弱みを巧妙についてくる。『入れて安心』ではなく、守る側も即時に同じ手法で対策を行うしかないからです。

制御系システムのセキュリティは全体観とマッピングが必須

そのための方策として、推奨するのは、想定される個々のリスクの相関関係・要因の分析まで踏み込んだ「セキュリティマップ」の作成です。
それも単にシステムリスクの有無の可能性だけでなく、異常と判断する仕組みや被害の影響範囲などに加え、コミュニケーション面などサイバーセキュリティ以外についても多面的・体系的にリスクを洗い出し・分析を行うことが重要です。

個々のセキュリティ対策の詳細に踏み込むのと並行し、全体像をとらえることが必要です。
天災、設備障害等のリスクはマッピングができています。たとえば、首都直下地震が起きた時、職員はどうやって業務を継続するのか、おそらく一定のルールが設けられているでしょう。
同様にサイバー攻撃についても、企業にとっての深刻度に応じた手順を事前に決めておき、誰が判断するのかを決めておくことが大切です。

「自分には関係ないと思う心理」、それが最終的には組織に大きな被害を与えてしまう

災害などのリスクに関するマネジメントは、責任者がいて手順も明確化されて、体系化されていることが多いと思います。
そこにシステムのセキュリティについてもマッピングしておき、全体の一部として認識するという事です。
具体的にはリスクのレベルに応じて、対策や責任者を明確化し、図式化しておくと良いと思います。

こうした意識づけをする意義を、「正常性バイアス」の恐ろしさを踏まえて語ることが大切で、ちょっとしたマルウェアが来ても、多くの人は「自分は大丈夫」と思い込み、「大したことない」と判断して仕事を続行してしまいます。
しかし、そうした1人がいれば、全員が被害を被ることに他ならないのです。それはまるで「自分は詐欺にあわない」と思っている人ほど詐欺の犠牲になりやすいのと大変似ています。
「自分には関係ないと思う心理」、それが最終的には組織に大きな被害を与えてしまうことを認識して欲しいのです。


正常性バイアスは、人数が多いほどかかりやすいといった特徴がある

正常性バイアスは、「正常な範囲に納まっていると認識する」「心の平穏を守る」ための機能です。しかし災害など非常時に機能した結果、「この程度なら大丈夫」「自分なら大丈夫」といった過小評価につながり、逆に被害を拡大してしまう事を言います。

新型コロナウイルス感染症に対しても、正常性バイアスが働いているといわれているのです。
「自分は感染しないだろう」という正常性バイアスが働いた結果、「マスク無しの会話」「不十分な感染対策下の会食」を意味しています。

特に特徴的なことは、正常性バイアスには、人数が多いほどかかりやすいと思いました。

極端に言うと、自分ひとりの事だから「バレない」「知られない」の心理状態なのでしょう。

自分自身の目線で思う話であって、「実際調べてみたら何人もが感染していた」という事になっている場合もあるのです。

問題解決ですが、日常の平時の時のコミュニケーションが大切です。

どんなに無事故が続いていても、ニアミスは頻繁に起きており、大きな事故の前にもインシデントは現れます。その報告がなされないまま、何か大きなインシデントが起き、セキュリティ環境や影響範囲などについて上層部との共有ができていなければ、パニックとなるのです。
トラブルの際は、被害を最小に留めることが必須ですが、判断を間違えれば被害を拡大させてしまう可能性も高いのです。
そうならないためにも、日頃から大小に関わらずインシデントを報告し、考え方や対処法などをすり合わせておくことが必要です。

平時の時に、どんな些細な事でも話が出来、聞いてくれる経営層を作っていかなければなりません。
正常性バイアスは、自分の判断で低い評価をして他人から文句を言われたくないといった防衛的心理が働きます。また、その逆もあり、他人が自分より劣って見えてしまい、過小評価する心理が働きます。実際に行ったことは、日頃から情シス担当者だけでなく、経営者も含め、想定外の事態やあらゆる可能性について話しあったことです。
さらに訓練の中身も予定通りに実施するタイプではなく、ケーススタディ方式の内容に変更しました。最も大切なことは、有事の時の行動について、基本方針(行動指針)を決めておくという事かと思います。正常性バイアスが連鎖しない職場は、話しやすい上下関係と信頼関係が影響しているという事です。

今後期待される「業界全体の情報共有」と「攻撃者目線によるリスク予測」

情報セキュリティの防御を考えた時に、どう考えても攻撃側に比べて不利であることは明らかです。
事業との兼ね合いで、コストを鑑みればセキュリティ設備などを常に最新にできるわけではありません。
既存と最新版を組み合わせてシステムを構築する他なく、常に現状のままでは不安を持ち続けているというのが実状だからです。
それでは防御側がどうしたら優位に立てるのか。もっとも重視しているのが「企業や組織同士による連携」だと思います。
各組織の把握した攻撃情報をほぼリアルタイムで相互共有し、インテリジェンスを統合できれば、攻撃数を低く抑えられる可能性があります。
攻撃の成功率が低くなれば、結果的に攻撃者のコストアップにつながり、狙われる確率は格段に下がるからです。

まとめ

近年、全てのリスクを洗い出す作業はますます難しくなってきています。
穴を見つけてふさぐというより、攻撃者の目線で『新たな弱点を見つける』という発想が必要ではないでしょうか。
攻撃専門対策チームの設置を示唆すると同時に、さらに攻撃の情報だけでなく、つかんだ予兆や攻撃の気配などを企業間で情報共有する仕組みも重要になると思います。

最後に、SOMPO CYBER SECURITYでは、攻撃の予兆となる情報をいち早く収集し、あらかじめ対策を行うための脅威インテリジェンスサービスや、リスクアセスメント体制整備のコンサルティング、セキュリティ研修サイバー攻撃演習のサービスもご提供しております。当社のサイバーセキュリティサービスをぜひご検討ください。

熱海 徹 セキュリティのデザイン過去記事一覧

熱海 徹 プロフィール

著者情報
熱海 徹(あつみ とおる)
SOMPO CYBER SECURITY

  • 1978年4月 日本放送協会入局 システム開発、スタジオ整備、スポーツ番組に従事
  • 2013年6月 本部・情報システム局にてサイバーセキュリティ対策グループ統括
  • 2016年6月 内閣府 SIP推進委員、セキュリティ人材育成WS委員
  • 2016年7月 一般社団法人ICT-ISAC-JAPAN事務局次長
  • 世界的スポーツイベントに向けて放送業界セキュリティ対策に従事
  • サイバーセキュリティ対策推進や経営層に向けたセキュリティ対応策について数多くのセミナー・イベントに登壇
  • 2018年9月 SOMPOリスクマネジメント株式会社に入社
  • サイバーセキュリティ事業のサービスに関する研究開発、技術評価、サービス企画開発等の統括、セミナー・イベントに登壇
  • 2019年7月 経済産業省 産業サイバーセキュリティ研究会 有識者委員
 
  • LINEで送る
  • このエントリーをはてなブックマークに追加