サイバーセキュリティと認知バイアス：対策の隙を埋める心理学的アプローチ

サイバーセキュリティと認知バイアス対策の隙を埋める心理学的アプローチ 2024/11/13 伊藤秀明 CISSP, 情報処理安全確保支援士

コグニティブセキュリティ人間の認知や行動、意思決定に悪影響を与える情報攻撃から人と社会を守ること本日のお題サイバーセキュリティと認知バイアス

認知バイアスとは人間の思考や判断に影響を与える心理的な傾向や偏り

サイバーセキュリティで見られる認知バイアス（一部）正常性バイアス自分にとって都合の良い情報や現状を維持したいという心理から、異常事態やリスクを過小評価する過信バイアス自分の知識や能力、組織のセキュリティ対策に過度な自信を持つことで、新たな脅威やリスクを軽視する確証バイアス
自分の信念や仮説を支持する情報のみを重視し、それに反する情報を無視または軽視するアンカリング効果最初に得た情報や印象に強く影響され、その後の判断や意思決定がそれに固定される利用可能性ヒューリスティック直近で得た情報や印象深い出来事に基づいて判断を下すグループシンクチームや組織内で一致団結を重視するあまり、異なる意見や批判的な視点が抑制される現状維持バイアス変化や新しいものを避け、現在の状態を維持しようとするフレーミング効果情報の提示方法や表現によって、意思決定が影響を受けるサンクコストの誤謬既に投入したコスト（時間、労力、資金）を惜しみ、非効率的なプロジェクトや対策を継続する

電子カルテ・医療機器向けLAN 犯罪者集団 LockBit インターネット VPN機器電子カルテシステムバックアップサーバー
医療機器パソコン参考：https://xtech.nikkei.com/atcl/nxt/column/18/01157/041900059/ VPNの脆弱性を利用して侵入された電子カルテシステムとバックアップサーバーが暗号化された医療機器やパソコンが使えなくなったバックアップから戻せなくなったランサムウェアに感染した徳島県つるぎ町立半田病院のインシデント（事象説明）

電子カルテ・医療機器向けLAN 犯罪者集団 LockBit インターネット VPN機器電子カルテシステムバックアップサーバー
医療機器パソコン参考：https://xtech.nikkei.com/atcl/nxt/column/18/01157/041900059/ 徳島県つるぎ町立半田病院のインシデント（認知バイアス観点①） • サイバー攻撃のリスクを適切に評価できていなかった • 2年以上にわたってVPN装置の脆弱性が放置されていた • 脆弱性が公開されても、同じVPN 装置を使い続けていた楽観主義バイアス悪い出来事は自分には起こりにくいと考える傾向現状維持バイアス変化を避け、現状を維持しようとする傾向

犯罪者集団 LockBit インターネット VPN機器参考：https://xtech.nikkei.com/atcl/nxt/column/18/01157/041900059/ 徳島県つるぎ町立半田病院のインシデント（認知バイアス観点②）電子カルテ・医療機器向けLAN 電子カルテ
システムバックアップサーバー医療機器パソコン確証バイアス自分の信念を支持する情報のみを重視し、反する情報を無視する傾向権威バイアス専門家や権威者の意見を過度に信頼してしまう傾向 • 病院が「閉域網」という言葉を信じ、脆弱性のあるVPNを意識しなかった • 病院側がネットワークやシステムの運用をベンダー側に頼りきっていた

参考：https://softwareisac.jp/wp/?p=19936 徳島県つるぎ町立半田病院のインシデント（認知バイアス観点③）正常性バイアス自分にとって都合の良い情報や現状を維持したいという心理から、異常事態やリスクを過小評価する傾向

認知バイアスへの対策認知バイアスの教育職員に対して認知バイアスの存在とその影響について教育を行うセキュリティ文化の醸成組織全体でセキュリティの重要性を共有し、異なる意見や懸念を自由に表明できる環境を作る。継続的なリスク評価外部専門家の協力を得て定期的にセキュリティリスクを評価し、最新の対策を講じる。

まとめ人は自分の信念と相反する事実を突きつけられると自分の過ちを認めるよりも、事実の解釈を変えてしまう。都合の良い言い訳をして、自分を正当化し、時には事実を完全に無視してしまう。客観的に自組織を見る状況を作り、失敗を受け入れる文化を醸成することが重要。

サイバーセキュリティと認知バイアス：対策の隙を埋める心理学的アプローチ

サイバーセキュリティと認知バイアス：対策の隙を埋める心理学的アプローチ

Shumei Ito

Other Decks in Technology

Featured

Transcript