(イメージ:the ISF)

先月上梓された「危機管理2022」に、『サイバー対策のソフトスキル強化を経営目線で』という小文を寄稿しました。その中で3つのデジタル脅威を取り上げましたが、その中の一つ「デジタルディビジョン」に関連する人の問題を、今回は少し深掘りして考えてみたいと思います。

新技術の出現により、一つの企業内でもデータやデジタル技術への従業員のアクセスできる能力がまちまちになり(デジタルディビジョン)、社内情報の円滑な流れひいては事業運営に潜むリスクが広がっています。その上さらに、国や業界によって新技術の利用環境やデジタルビジネスの成熟度が大きく異なる中、地政学的な情報リスクも増大(情報流通の不自由化・秘密管理の困難化)している状況が、リスク環境の断片化と特異化を育み、大きな脅威のうねりとなって迫って来るでしょう。

よく考えてみますと、そもそも人には心理的なバイアスが必ずあることに思い至ります。自分は平衡感覚に優れていると思われる方も居られるでしょうが、人間対人間には、「説得」という良いソフトスキルがある一方、「詐欺」という卑劣なソフトスキルも、古来から存在するわけです。逆に言えば、ソフトスキルは、善意で利用されれば説得力を高めることにも繋がりますが、人の弱みに付け込もうとすれば、犯罪集団の七つ道具になる訳です。

メールなりすまし攻撃 日本企業の約8割が対策不備」(日経新聞会員限定記事2022年2月9日付)という記事などを見ると、欧米は8割が対策済みで日本は遅れている、ということです。そのように対策が進んでいる、欧米でもメール詐欺の被害は一向に止みません。騙されないようにする技術的対策は無駄とは言いませんが、今一つ決め手に欠いている気もします。ISFメンバーの大企業の方々は、よく心理学を勉強されています。技術的対策を補完する手法を見出そうとしているのです。

そこで、今回のブログでは心理学から学ぶポイントの一つ、認知バイアスに焦点を当ててみます。その基本的な概念は、次のイラストの通りです。人はプレッシャーを受けて判断を急かされると、つい経験則や直感に頼って(「ヒューリスティックな」)判断をしてしまうのです。上手くいけば首尾よく正解となりますが、大抵の場合、「バイアス」によって不正解に導かれてしまう、ということになります。

画像を拡大 (イメージ: the ISF)

さてそれでは、どのようなバイアスがあって、情報セキュリティの観点からどういう問題がありうるのか、Steve Durbin氏にBIAS Top10の解説を依頼することにしましょう。