技術だけでは守れない――サイバー攻撃と「人」の話

サイバー攻撃のニュースは、相変わらず後を絶ちません。ランサムウェア、情報漏えい、不正アクセス。手口も年々巧妙化し、最近ではAIの普及により、攻撃側がより効率的かつ大規模に動ける環境が整いつつあります。少し前まで「高度な技術を持つ一部の攻撃者のもの」と思われていたものが、今では広く使われるツールとして一般化し始めている――そんな印象を受ける方も多いのではないでしょうか。

今回このテーマを選んだきっかけは、先日参加した「サイバー犯罪に関するセキュリティシンポジウム（第30回）」でした。直前にフロンティアAIによる脅威の変化について厚生労働省からも事務連絡が発信されたこともあり、シンポジウムではサイバー攻撃にAIが使われる現状と、防御側のAI活用に否応なしに注目が集まりました。

確かに、AIは今後のセキュリティ対策において不可欠な存在になるでしょう。ログ分析の効率化、異常検知の高度化、攻撃の予測……その恩恵は計り知れません。しかし同時に、「ではAIは果たして最適解をくれるのか」と考えたとき、少し違和感が残りました。
どれだけ技術が進歩しても、最終的に判断を下すのは人です。どのリスクを許容するのか、どこに投資するのか、いつ復旧に切り替えるのか――。組織としての意思決定は、これからも人が担い続けます。

さらに言えば、サイバー攻撃によってダメージを受けるのも、やはり人です。AIの活用が進んだとしても、そのこと自体が、人の負担を根本から消し去るわけではありません。
考えてみれば、人は単に判断するだけの存在ではありません。状況に応じて相手を選び、関係性を築き、連携することができます。組織内外で自然発生的に支え合う力や、言葉にならない状況を汲み取る力は、現時点では機械に置き換えられるものではないでしょう。シンポジウムやコミュニティの活動は、実際にそのような場としても機能しています。

私自身、各地のセキュリティシンポジウムやイベントに参加するようになって約10年が経ちます。この間、技術は大きく進歩しましたが、それと同時に、インシデントの現場で繰り返し目にしてきたのは、「人の介在」が結果を左右する場面でした。今回、あらためてそのことを考える機会になったように思います。

振り返ってみると、被害に遭った組織からは、さまざまな情報が発信されています。調査報告書、記者会見、再発防止策の公表など、その内容は以前よりも充実してきました。その中で、私たちはつい「原因」を探そうとします。
「VPN装置の脆弱性があった」
「パスワードが簡単だった」
「パッチ適用が遅れていた」
これらは確かに重要なポイントであり、技術的な弱点として見逃すことはできません。しかし、そこに少しだけ「人」という視点を加えてみると、別の景色が見えてきます。
「簡単なパスワードでも運用できると判断したのは誰か。」
「パッチ適用を後回しにせざるを得なかった背景には何があったのか。」
たとえそれがマニュアルや組織の方針に基づいた判断だったとしても、その方針を策定したのも、最終的に判断を下したのも人間です。技術的な設定やシステムの状態は、突き詰めれば常に「人の意思決定の結果」として現れます。
そう考えると、サイバー攻撃の被害を招くウィークポイントは、単なる技術的な欠陥ではなく、「人が置かれた状況や判断の積み重ね」によって生み出されているとも言えるのではないでしょうか。
さらに視点を広げると、被害の影響もまた人に帰着します。
経済的なダメージを受けるのは組織ですが、その組織を構成しているのは人です。業務停止によって現場で負担を背負うのも人であり、対応に追われて疲弊するのも人です。そして、その影響はやがて個々の生活にまで波及していきます。
ここで、ある被害組織の経営者の話を紹介したいと思います。その方は、インシデント発生後、全国の拠点を自ら回り、社員一人ひとりに向き合い、頭を下げて状況を説明しました。現場では、復旧対応による長時間勤務が常態化し、帰宅が遅くなることでタクシー代などの出費が増えていることに気づきます。そこで、その経営者は金銭的な補助に踏み切りました。
技術的な対策でも、運用手順の見直しでもなく、「そこで働く人の負担をどう軽減するか」という判断です。サイバー攻撃への対応は往々にしてシステムやデータに目が向きがちですが、その裏で踏ん張っている人の存在に目を向けた決断だったと言えるでしょう。

私自身も被害組織の方々の話を伺う中で、「復旧できたかどうか」と同じぐらい、「どうやって人を支えたか」が重要なテーマであることを強く感じました。強いリーダーの存在もあれば、「一人にしてしまった」という反省の言葉もありましたし、疲れ切った現場をどう立て直すかという試行錯誤もありました。そこには、技術的な対策だけでは語りきれない現実がありました。その経験を経て、既存の福利厚生や支援制度をサイバー攻撃の被害が発生した時に社員・職員を支えるために活用できないかと模索を続けています。

もちろん、サイバー攻撃対策において技術は不可欠です。脆弱性の管理、ログの監視、アクセス制御、バックアップ、脅威インテリジェンスの活用――どれを取っても欠かせない要素です。ただ、それらが十分に機能するためには、「人が適切に判断できること」が前提になります。
「今、このパッチを当てるべきか」
「この設定変更は業務にどう影響するか」
「調査と復旧、どちらを優先するか」
こうした判断は、マニュアルだけではカバーしきれない場面が少なくありません。状況に応じて技術と判断を組み合わせていく柔軟さが求められます。
そして、もう一つ忘れてはいけないのが、「ダメージを受けた人を支える仕組み」です。サイバー攻撃は、一度発生すると長期間にわたり影響が続きます。その間、現場では高い緊張状態が続き、心身の負担も大きくなります。メンタルケアや勤務環境の調整など、回復を支える取り組みは、今後ますます重要になっていくでしょう。
つまり、これから求められるサイバー攻撃対策は、
　　•　技術的な備え
　　•　人の適切な判断を支える仕組み
　　•　被害を受けた中でも、組織のミッションを遂行するための仕組み
　　•　そして、被害後の回復を支える取り組み
これらを並行して整えていくものではないかと感じています。
ただ正直なところ、「人」に焦点を当てた議論は、まだそれほど多くありません。どうしても技術的な原因や対策の方が分かりやすく、評価もしやすいからかもしれませんし、あるいは「人」の問題に踏み込むことの難しさもあるのだと思います。
それでも、現場で起きていることに目を向けるほど、「人の視点を抜きにした対策には限界がある」という実感が強くなってきます。
同じように感じている方は、まだ多くはないかもしれません。ですが、少しずつでもこの視点に関心を持つ人が増え、技術と人の両面からサイバーセキュリティを考える流れが広がっていくことを願っています。
そのとき初めて、「守る」という言葉の意味が、もう少し立体的になるのかもしれません。