前回のブログでは、テクノロジー重視と人重視のセキュリティという二極化について取り上げました。
今回は少し踏み込んで、問題の中心にある「人間の心理」を見ていきます。
新しい取引先を装った「至急の請求書」メールを見た瞬間、胸がざわついて思わずクリックしそうになるのはなぜでしょうか。これはミスではなく、脳の自然な反応です。最新のヒューマンリスクマネジメント(HRM)ホワイトペーパーでも述べたとおり、攻撃者は心理術に長けており、認知バイアス(思考の近道)を巧みに突いてきます。彼らはシステムだけではなく、私たちの脳にも侵入しています。
たとえば、次のようなバイアスが悪用されます。
- Authority Bias(権威バイアス):差出人が「CEO」だと、無視しにくく感じてしまう
- Optimism Bias(楽観性バイアス):「自分は大丈夫」という思い込み
- Familiarity Bias(親近性バイアス):見慣れたデザインのログインページを見ると、本物だと感じやすくなる
従来のセキュリティトレーニングが効きにくいのは、こうした根深いバイアスに「論理」で対抗しようとするからです。銃弾をPowerPointのスライド1枚で止めるようなものです。勝負は、刺激(メール)から反応(クリック)までの0.5秒で決まります。ここで役に立つのが「サイバーマインドフルネス」です。
サイバーマインドフルネスとは、恐怖・緊急性・好奇心といった感情が抑えられなくなる「扁桃体ハイジャック(amygdala hijack)」を自覚し、一呼吸置く力を養うことです。その一瞬の間に理性が追いつき、「ちょっと待て。本当に正しいのか?」と問い直せるようになります。
サイバーセキュリティの専門家Anna Collardは次のように説明しています。「私は一度フィッシングリンクをクリックしてしまったことがあります。ただ、これはスキル不足によるものではなく、注意が散漫でマルチタスクをしていたからです。」
効果的なヒューマンリスクマネジメント(HRM)は、この理解を土台にします。人間の心理を作り替えるのではなく、「一呼吸」を引き出す環境を設計します。行動科学のBJ Fogg氏のB=MAPモデル(行動=動機+能力+きっかけ)を活用し、単に「動機」を上げるのではなく、次の2点に注力します。
- 能力を高める:安全な行動を簡単にする。たとえば、ワンクリックで報告できるPhish Alert Button(PAB)など
- 適切なきっかけを与える:必要な瞬間に気づきを促す。タイムリーなナッジやメールバナー、現実的なフィッシング訓練
これらはナッジ理論に基づく発想で、最も安全な行動が最もラクな行動になるようにします。人間の性質に逆らうのではなく、自然に防御を高められるような環境を設計する考え方です。
原典:Javvad Malik著 2025年9月26日発信 https://blog.knowbe4.com/the-behavioral-science-behind-the-click