Day 78 サイバーセキュリティとは何か？　So What Is Cybersecurity? Putting Humans at the Center

サイバー判断力によるヒューマン・ハードニング

» 2026/01/15

サイバーセキュリティとは何か？

～人間を中心に据え、サイバー空間に生きる私たちを守る～

日本に戻ってきて、私がいちばん恋しく感じたのは、仲間たちとセキュリティについて交わしていた、あの熱のこもった議論でした。

「サイバーセキュリティとは何か」
「それを、私たちはどう実装すべきなのか」
「何を、どのように守るべきなのか」

何時間もかけて、議論を重ねました。

そこにいた誰もが、それぞれに正しい視点を持っていました。数えきれない攻撃やインシデント、侵害を目の当たりにしてきたベテランたち。

危機の最前線でもがき、はいつくばり、そこから自分なりの信念や理論を形づくってきたプロフェッショナルたちです。

私たちは互いの意見をぶつけ合い、時に衝突しながらも、相手の視点を通して自分の考えを調整していきました。彼らの生々しく、具体的な経験談に耳を傾け、議論を交わす時間は、知的にとても刺激的で、思考を確実に鍛えてくれるものでした。

ここから先に書くことは、私自身の経験と研究、そしてこれまでのキャリアの中で出会ってきた数多くのサイバーセキュリティの専門家・実務家たちの知見を通じて形づくられた、私個人の考えです。

「サイバーセキュリティとは何か？」

この根本的な問いに対して、日本では答えに詰まる専門家が少なくない。一方、海外で出会った多くのサイバーセキュリティの実務家たちは、それぞれに自分なりの定義を持っていました。この投稿では、私自身の定義を共有します。そして、あなた自身の定義も、ぜひつくってほしいと思います。

では、セキュリティとは何か？

もちろん、まず思い浮かぶのは CIA トライアドであり、ISO、NIST、SANS などの権威ある機関による定義でしょう。私の定義も、これらの標準と整合しています。
ただしそこには、私自身が経験してきた現実が、少しだけ"味付け"として加えられています。ここでは、このブログシリーズ全体の土台となる3つの中核的な概念を通じて、サイバーセキュリティを定義します。

以下の3つの概念は、私がサイバーセキュリティを理解し、説明するうえでの中心軸です。

1. 人間中心のサイバーセキュリティ
   サイバーセキュリティとは、サイバー空間に生きる人間を守ることである。
2. 比例的防衛（プロポーショネート・ディフェンス）「身の丈にあった」セキュリティ
   サイバーセキュリティは、私たちが何者で、何を持っているのかに見合ったものであるべきだ。
3. 集合的防御（コレクティブ・ディフェンス）
   サイバーセキュリティは、個人の技であり、同時にチーム、組織、産業、国家を横断するチームプレーである。

今日は、この最初のテーマである「人間中心のサイバーセキュリティ」を掘り下げていきます。

それでは、始めましょう。

人間中心のサイバーセキュリティ ― 私の定義

この分野に長く身を置いてきた今、私がたどり着いた定義がこれです。それは流行語でも、研修プログラムでもありません。

人間中心のサイバーセキュリティとは、

• 人がどのように考え、行動し、デジタル環境で相互作用するのかを理解するための学際的な知識を通じて、サイバー空間に存在するすべての人間を守り、理解し、配慮すること
• 人間に対してではなく、人間のために、そして人間とともにセキュリティを設計すること
• テクノロジーは人類に仕えるものであり、その逆ではないと認識すること
• サイバー空間に存在するすべての人は、たとえどのような行為をしていようとも、本質的には人間であり、理解されるべき存在であると捉えること

では、これらは実務において何を意味するのでしょうか。そして、なぜ今、私たちはこれを必要としているのでしょうか。

パラダイムシフトのとき

理想論に聞こえるかもしれません。しかし、今日のサイバーセキュリティの現実は、まさにこの転換を求めています。

私たちはよく、セキュリティや他の仕事において「人・プロセス・テクノロジー」が模範だと教えられてきました。ところが実際の現場では、その順序は逆転しています。

テクノロジー、プロセス、そして人。

サイバーセキュリティの黎明期から現在に至るまで、最初に投資され、最も多くのリソースが割かれてきたのは、常にテクノロジーでした。ファイアウォール、アンチウイルス、侵入検知システム、暗号化、エンドポイント保護、クラウドセキュリティ── 挙げればきりがありません。ネットワーク、システム、インフラは、潤沢な予算と人員によって守られてきました。

次に、プロセスがようやく注目され始めました。「テクノロジーだけでは不十分だ」と気づいた多くの組織が、ガバナンス、標準化、運用の体系化に目を向け始めたのです。

NIST CSF、ISO 27001、各種コンプライアンスプログラム、インシデントレスポンス手順──プロセスとしてのセキュリティは、ようやく正当な評価を受け始めています。

では、人はどうでしょうか。

「人・プロセス・テクノロジー」という言葉では最初に置かれているにもかかわらず、
実際の優先順位、投資、関心において、人間は最後のままです。

なぜ、こうなるのでしょうか。それを理解するには、サイバー空間そのものを見つめ直す必要があります。

誕生してからわずか数十年しか経っていないサイバー空間は、今や広大で、複雑で、圧倒的な存在となりました。ネットワーク、サーバー、アプリケーション、プロトコル、インターフェース、デバイス、クラウド──無数の要素で満ちています。

しかし、すべての層を剥がし、本質まで突き詰めると、サイバー空間を構成する要素は、実はたった 3つ しかありません。

データ、テクノロジー（ツール）、そして人。

単純化しすぎだと感じるかもしれません。ですが、少し考えてみてください。サイバー空間に存在するすべてのものは、この3要素と、その相互作用のために存在しています。人は、テクノロジーやツールを使って、データを保存し、処理し、伝達します。働くために、遊ぶために、学ぶために。コミュニケーションして。創造しています。自分たちの色々な欲求や目的を満たすために。

それが、サイバー空間の本質です。

この現実を「人・プロセス・テクノロジー」という枠組みに戻してみると、あることが見えてきます。

プロセスとデータは、自然とデータセキュリティ、ガバナンス、コンプライアンスへと統合され、テクノロジーは、IT、ネットワーク、インフラセキュリティとしてすでに確立された分野になっています。これらは、具体的で、測定可能で、理解されやすい領域です。

しかし、人間──この不可欠な第三の要素だけが、孤立したまま、十分に扱われていません。ここで、ひとつ確かなことがあります。

人を抜きにしたサイバーセキュリティは、成立しないということです。

業界も、ようやくこの失敗に気づき始めています。Gartnerは、2027年までに大企業のCISOの50％が、人間中心のセキュリティ設計を採用すると予測しています。それは、人を「最弱のリンク」と見なす発想から、人間の本性とともに機能するセキュリティを設計する発想への、根本的な転換です（Gartner, 2023）。

だからこそ、私たちに必要なのは小さな改善ではありません。

人間を真に中心に据えたサイバーセキュリティを、あらためて構想し直すこと。

今、求められているのは、そのレベルの転換なのです。

この定義が意味するもの ― 4つの基盤となる柱

ここからは、人間中心のサイバーセキュリティを実務の中で機能させるための 4つの柱 を解きほぐしていきます。

第1の柱：研修を超えて ―「人間要素」の再定義

組織が「人間要素」について語るとき、多くの場合、話題はセキュリティ意識向上研修やフィッシング訓練に収束します。

重要か？── はい。
十分か？── まったく足りません。

この点については、これまで、そしてこれから書く他の記事でも繰り返し述べていきますが、組織におけるサイバーセキュリティの「人間要素」は、変革されなければならない段階に来ています。

例えば、データは、厳しい現実を突きつけています。Verizon の 2024 年データ侵害調査報告書では、30,458 件のセキュリティインシデントと 10,626 件の侵害事例を分析した結果、68％が人間要素に関与していたことが明らかになりました。その多くは、ソーシャルエンジニアリングの被害や、人為的ミスによるものです。IBM の調査でも、CISO の 4 人に 3 人が、人為的ミスを最大のサイバーリスクと認識していることが示されています。さらに複数の業界分析を総合すると、サイバー侵害の約 95％は人為的要因に起因するという、さらに深刻な結論に行き着きます。ところが、この圧倒的な証拠があるにもかかわらず、2024 年の ISC2 サイバーセキュリティ人材調査によれば、

• 25％の組織がセキュリティ人員を削減
• 37％がセキュリティ予算を削減
• そして、真っ先に削られたのが人材育成・研修プログラム

という現実が明らかになりました。

これほど広く、深い問題領域であるにもかかわらず、人間に関わる領域への投資は、極めて限定的です。

なぜでしょうか。
人への投資は、短期的な収益を生まないからでしょうか。
成果が目に見えにくく、測定が難しいからでしょうか。
正直なところ、理由は一つではないでしょう。

しかし、ひとつだけ確かなことがあります。

人間中心のサイバーセキュリティとは、人を「脅威を避ける存在」に訓練することではありません。サイバー空間における人間を、本質的に大切にすることです。

人は日々、傷ついています。

• サイバーいじめ、詐欺、なりすまし、嫌がらせの被害者
• 搾取される子どもたち
• 過剰なセキュリティ摩擦によって疲弊する従業員
• 標的にされ続ける社会的に脆弱な人々

これはもはや、組織のセキュリティ対策という枠を超えています。

デジタル空間における人権、尊厳、そしてウェルビーイングの問題なのです。

人間の行動を理解する ― 第2の柱

ここで、従来のアプローチと決定的に異なる点があります。それは、人はサイバー空間では、現実世界とは異なる振る舞いをするという前提に立つことです。

人間を本当に守ろうとするなら、私たちは、これまで主流のサイバーセキュリティからほとんど抜け落ちていた 3つの学際領域 に目を向けなければなりません。

サイバー心理学（Cyberpsychology）

人はオンラインでどう変わるのか

• 抑制が弱まり、リスクを取りやすくなる「脱抑制効果」
• セキュリティ判断に影響を与える認知バイアス
• 複数の自己を持つデジタル・アイデンティティ
• サイバー被害による心理的トラウマ
• 攻撃者が巧みに利用する「信頼」の力学

サイバー社会学（Cybersociology）

人と集団の力学

• 組織や集団がどのようにセキュリティ文化を形成するか
• 保護へのアクセスにおけるデジタル格差
• 「誰かのセキュリティ」が自分の安全にも影響するネットワーク効果
• 情報がどのように拡散するのかというパターン
• 組織文化がセキュリティ行動に与える影響
• プライバシーやリスクに対する文化的差異

サイバー犯罪学（Cybercriminology）

攻撃者を「人間」として理解する

• 犯罪動機（困窮、思想、強制など）
• サイバー犯罪へと至る経路と、介入可能なポイント
• 機会構造（Opportunity Structure）
• 犯罪ネットワークの形成
• 何が実際に犯罪を抑止するのか

研究が繰り返し示しているのは、オンラインにおける人間行動を理解せずに設計されたセキュリティは、理論的には正しくても、実務では機能しないという事実です。

たとえば、多要素認証（MFA）を「セキュリティ強度」だけを基準に設計し、実際の業務フローを考慮しなければどうなるでしょうか。

過剰な摩擦が生まれ、人は回避策（ワークアラウンド）を見つけ出します。結果として、本来守るはずだった防御は、形骸化してしまいます。

人間中心の設計であれば、MFA の選定プロセスに利用者を巻き込み、実際の働き方や行動パターンを理解したうえで設計します。

この3つの学問分野は、サイバー空間にいる人間を、「こうあってほしい姿」ではなく、「現実の姿そのまま」に見るためのレンズを与えてくれます。

すべての人間を含める ― 第3の柱（最も議論を呼ぶ部分）

ここからが、多くの人が抵抗を覚えるであろう部分です。しかし、これは私の定義において 不可欠な要素 です。

人間中心のサイバーセキュリティは、「間違ったこと」「非倫理的なこと」「犯罪行為」を行う人間も含め、サイバー空間に存在するすべての人間を対象とします。

サイバー犯罪者、悪意ある内部関係者、嫌がらせを行う者、詐欺師、国家主体の攻撃者、過激主義者──他者を害する目的でサイバー空間を利用するすべての人間です。

ここではっきりさせておきます。

これは、有害な行為を正当化することでは決してありません。被害者は、常に最優先で守られ、正義が与えられるべき存在です。

理解することは、許すことではありません。
共感は、同情でも擁護でもありません。

しかし、有効な防衛（ディフェンス）には、相手の行動と動機を理解することが不可欠です。

なぜ、これがセキュリティにとって重要なのか

攻撃者を「人間ではない何か」として扱った瞬間、私たちは次のものを失います。

• 予防につながるはずの介入機会
• 現実を反映しない、ステレオタイプに基づく無力な対策
• 行動パターンを理解することで得られるはずのインテリジェンス
• 根本原因に触れないまま、被害を繰り返す悪循環

実際、サイバー犯罪者の中には、倫理的な進路へと方向転換できたかもしれない若者もいます。経済が崩壊した地域で、他に収入手段がない人々もいます。精神的危機や強制によって追い込まれた人もいます。

これらは、行為を正当化する理由にはなりません。しかし、理解することは、彼らを止め、将来の被害者を守る力になります。

人間中心であるとは、どういうことか

もし「人間中心のセキュリティ」が「善良な人のためだけ」のものであるなら、それは単に マーケティング表現を変えただけの技術中心セキュリティです。

真に人間中心であるということは、人間の複雑さ全体と向き合うこと。
そこには、光だけでなく、最も暗い部分も含まれます。

それを直視できて初めて、私たちは本当に人を守るセキュリティを設計できるのです。

実践への統合 ― 第4の柱

最後に強調したいのは、これは単なる哲学ではない、ということです。
人間中心のサイバーセキュリティは、私たちが実際に行っているサイバーセキュリティの実務に、具体的に統合されなければなりません。

現在広く用いられているフレームワークNIST CSF や ISO/IEC 27001 は、技術的な指針として非常に優れています。しかしその一方で、サイバー心理学・サイバー社会学・サイバー犯罪学といった視点は、ほとんど組み込まれていません。

真に効果的なセキュリティを実現するためには、これらを「後付け」で扱うのではなく、設計の中核原則として最初から統合する必要があります。

このテーマについては、NIST CSF や ISO 27001 といった既存フレームワークに、
どのように人間要素を組み込むかという形で、別シリーズのブログとして詳しく掘り下げていく予定です。

人間中心のサイバーセキュリティとは、実務において何を意味するのか

それは、次のような実践を意味します。

• 人がオンラインで実際にどのように行動するのかという心理学的研究に基づいて、セキュリティコントロールを設計すること
• 集団がテクノロジーをどのように使うのかという社会学的パターンを踏まえたポリシーを策定すること
• 攻撃者の動機や背景を犯罪学的に理解したうえで、脅威モデルを構築すること
• 成功を、技術的指標だけで測るのではなく、人間のアウトカム──ウェルビーイング、尊厳、成長によって評価すること

そして、AI時代において決定的に重要な点

AI がこの分野を大きく変えつつある今、私たちは改めて確認しなければなりません。

AI は多くの機能を担うようになります。しかし、人間が中心であり続けなければならないのです。

AI はツールです。
能力を拡張する強力なイネーブラーではありますが、人間の判断、倫理、配慮を置き換える存在ではありません。

世界経済フォーラムの「グローバル・サイバーセキュリティ展望 2025」によれば、
サイバー人材のスキルギャップは 2024 年から 8％拡大し、組織の 3 分の 2 が中程度から深刻なスキル不足に直面しています（World Economic Forum, 2025）。

AI の導入が進めば進むほど、テクノロジーの能力と、人間の理解との間のギャップは、
さらに広がる危険性があります。私たちは、人間を取り残してはなりません。

AIにできないこと、させてはいけないこと

AI にはできないことがあります。

• 犯罪行動の背後にある人間的文脈を理解すること
• 倫理的判断を下すこと
• 介入の機会を見極めること
• 曖昧で不確実な状況において、賢明さ（wisdom）を発揮すること

これらはすべて、心理学・社会学・犯罪学に裏打ちされた人間の洞察を必要とします。

だからこそ、人間中心のサイバーセキュリティは、AI時代においてこそ不可欠なのです。

そして、最終的な判断は人間がしなくてはいけません。

決定的に欠けている、巨大なピース

配慮、尊厳、心理的理解、社会的力学、犯罪学的洞察、フレームワークへの統合、そして AI 時代における人間の主体性──このビジョン全体こそが、現在のサイバーセキュリティに決定的に欠けている、巨大なピースです。

従来の教育は、システムは理解していても、それを使う人間を理解しない技術者を生み出してきました。

しかし、これから必要なのは、次のような専門家です。

• コンピュータサイエンス と 心理学
• ネットワークセキュリティ と 社会学
• 脅威インテリジェンス と 犯罪学
• 技術的コントロール と 人間行動

その両方を語れる人材です。

このブログ全体を通じて、こうした人間要素がどのように現れるのかを示していきたいです。

• なぜセキュリティ意識向上研修が失敗するのかを、サイバー心理学が説明すること
• どのような社会的パターンが脆弱性やレジリエンスを生み出すのかを、サイバー社会学が明らかにすること
• 攻撃者理解を根本から変えるのが、サイバー犯罪学であること
• そして、加害者を非人間化することなく、被害者を守るという難題に向き合うこと

なぜなら、私たちはシステムのためにシステムを守っているのではないからです。

システムを守るのは、それが 人間のニーズに仕え、人間の成長を支え、人と人の人生をつなぐ からです。── それは、誤った選択をした人間も含めた、すべての人間の人生です。

この根本的な真実を見失った瞬間、私たちは、守るべき最も大切なものをすでに失っています。

前へ進むために

人間のために、そして人間とともにあるサイバーセキュリティ。
サイバー空間に存在するすべての人を、
理解し、守り、配慮すること──
たとえ害を与える側であっても。
なぜなら、効果的なセキュリティには、人間の複雑さ全体を理解することが不可欠だからです。

これは、単なる理論ではありません。

これは、サイバーセキュリティの未来です。
人間が「最弱のリンク」ではなく、正しく理解され、支えられ、設計に統合されたとき、最も強力な"生きた資産"となる未来です。

私たちは、この変革に備えられているのでしょうか。

これからの投稿では、

• NIST CSF や ISO 27001 への具体的な統合方法
• サイバー心理学が実務でどう機能するのか
• 規模を問わず導入可能な組織向けロードマップ

等を示していきます。

これは理想論ではありません。
実現可能な道筋です。

問われているのは、人間を中心に据えられるかどうかではありません。

いま、始める意志があるかどうかです。

長くなりました、今日はこの辺で明日はもう１つのセキュリティ概念を見ていきます。

――――

So What Is Cybersecurity? Putting Humans at the Center

Protecting all humans in cyberspace through interdisciplinary understanding

When I returned to Japan, what I missed most were the heated discussions with my peers about security. We would debate for hours: What is cybersecurity? How should we implement it? How should we protect our systems?

Everyone had valid perspectives shaped by their experiences. These were veterans who had witnessed countless attacks, incidents, and breaches--professionals who had struggled through crises and emerged with their own beliefs and theories. We would clash over our opinions, then adjust our views by seeing through each other's perspectives. Listening to their varied, vivid stories and debating with them was exhilarating. That process strengthened our thinking.

What follows is my personal opinion, forged through my own experiences, research, and the accumulated wisdom of cybersecurity professionals and veterans I've encountered throughout my career.

The fundamental question--"What is cybersecurity?"--is one I found many professionals in Japan struggled to answer, while most cybersecurity experts I met internationally had developed their own definitions. In this post, I'll share mine. You should develop one too.

So What Is Security?

Of course, the CIA triad comes first, along with definitions from ISO, NIST, SANS, and other authoritative bodies. My definition aligns with these standards but is seasoned with what I've been through.

Here I will define cybersecurity using three core themes that form the foundation of this blog series. While other ideas and perspectives will emerge throughout my writings--past, present, and future--these three concepts are central to how I understand and explain cybersecurity:

1. Human-Centric Cybersecurity - Cybersecurity is to protect humans in cyberspace.
2. Proportional Defense - Cybersecurity should be proportionate to what we are and what we have.
3. Collective Defense - Cybersecurity is an individual practice, and a team play across teams, organizations, industries and nations.

Today, I examine the first topic: Human-Centric Cybersecurity. So let's begin.

Human-Centric Cybersecurity: My Definition

After years in this field, here's my definition--more than buzzwords, more than training programs:

Human-Centric Cybersecurity is:

• Protecting, understanding, and caring for all humans in cyberspace through interdisciplinary knowledge of how people think, behave, and interact in digital environments
• Designing security for and with humans, not against them
• Recognizing that technology serves humanity, not the reverse
• Understanding that every person in cyberspace, regardless of their actions, remains fundamentally human and deserving of being understood as such

But what does this actually mean in practice? And why do we need it now?

Time for a Paradigm Shift

This might sound idealistic, but the reality of cybersecurity today demands this shift.

We often cite people, process, and technology as the model for success. Yet in practice, the order is reversed: technology, process, people.

Technology has always been invested in and resourced first--this has been the pattern since the beginning of cybersecurity. Firewalls, antivirus, intrusion detection systems, encryption, endpoint protection, cloud security--the list goes on. Networks, systems, infrastructure receive heavy investment and staffing.

Process is now emerging and gaining recognition. Many have realized that technology itself is not sufficient and started focusing on governance, standardization, and operationalization of processes. Frameworks like NIST CSF, ISO 27001, compliance programs, incident response procedures--process part of security is finally getting the attention it deserves.

But what about people? Despite being listed first in "people, process, and technology," humans remain last in actual priority, investment, and attention.

Why does this happen? To understand, we need to examine cyberspace itself.

Born just decades ago, cyberspace has become vast, complex, overwhelming--filled with networks, servers, applications, protocols, interfaces, devices, clouds, and countless other components.

But here's the thing: when you strip away all the layers and really boil it down, there are only three fundamental elements in cyberspace: data, technology/tools, and people.

This sounds oversimplified, I know. But think about it. Everything in cyberspace exists to serve these three elements and their interactions. People use technologies and tools to store, process, and transfer data--to work, play, study, communicate, create, and fulfill all their needs and desires. That's it. That's the essence of cyberspace.

When we map this reality back to our "people, process, and technology" framework, something revealing happens: process and data naturally merge into what we call data security, governance, and compliance and technology is well established as IT, network, infrastructure security and so on. These are concrete, measurable, well-understood domains. But people--the essential third element--remain isolated and inadequately addressed.

But one thing is certain: people cannot be left out.

The industry is beginning to recognize this failure. Gartner predicts that by 2027, 50% of large enterprise CISOs will adopt human-centric security design practices to minimize cybersecurity-induced friction and maximize control adoption--a fundamental shift from viewing humans as the weakest link to designing security that works with human nature (Gartner, 2023).

This is why we need more than incremental improvements. We need a fundamental reorientation--reimagining cybersecurity with humans truly at the center.

What This Definition Means: Four Foundational Pillars

Let me unpack the four pillars that make human-centric cybersecurity work in practice.

Beyond Training: The First Pillar

When organizations discuss "the human element," they default to security awareness training and phishing simulations. Important? Yes. Sufficient? Not even close. I discuss this more in the other blogs that will show you it is clear that human elements of cybersecurity at organizations need to be transformed.

The data tells a damning story. Verizon's 2024 Data Breach Investigations Report analyzed 30,458 security incidents and 10,626 confirmed breaches--68% involved the human element, with individuals falling victim to social engineering attacks or making errors (Verizon, 2024). IBM's research confirms that three in four CISOs rank human error as their #1 cybersecurity risk (IBM, 2024). Industry consensus from multiple analyses is even more sobering: approximately 95% of cybersecurity breaches result from human error.

Despite this overwhelming evidence, the 2024 ISC2 Cybersecurity Workforce Study reveals 25% of organizations cut cybersecurity staff and 37% slashed budgets--with human training programs first on the chopping block (ISC2, 2024). This vast area receives minimal investment. Why? Perhaps because human outcomes don't generate immediate revenue? Because they're intangible and hard to measure? I'm not entirely sure.

But here's what I am sure of: Human-Centric Cybersecurity isn't about training people to avoid threats--it's about fundamentally caring for humans in cyberspace.

Humans are harmed daily: victims of cyberbullying, fraud, identity theft, harassment; children exploited; employees burned out by security friction; vulnerable populations targeted. This goes beyond organizational security--it's about digital human rights, dignity, and wellbeing.

Understanding Human Behavior: The Second Pillar

But here's what makes this truly different from traditional approaches: We recognize that people behave differently in cyberspace. To genuinely protect humans, we must draw on three interdisciplinary fields that have been largely absent from mainstream cybersecurity:

Cyberpsychology - How people change online: the disinhibition effect lowering barriers to risk-taking, cognitive biases affecting security judgment, digital identity with multiple selves, psychological trauma from cyber victimization, and trust dynamics attackers exploit.

Cybersociology - Social dynamics: how groups develop security cultures, digital inequality in access to protection, network effects tying your security to others', information diffusion patterns, organizational culture impacts, and cross-cultural differences in privacy and risk approaches.

Cybercriminology - Understanding adversaries as humans: criminal motivations (desperation, ideology, coercion), pathways into cybercrime revealing intervention points, opportunity structures, criminal networks, and what actually deters crime.

Research emphasizes that designing security without understanding online behavior creates theoretically sound but practically ineffective systems. For instance, when we design multi-factor authentication purely for security without considering user workflows, we create friction that leads to workarounds--defeating the very protection we intended. Human-centric design would involve users in the MFA selection process, understanding their actual work patterns.

These three disciplines give us the lens to see humans in cyberspace as they truly are--not as we wish they were.

Including ALL Humans: The Third Pillar (The Controversial One)

Now comes the part that many will resist, but it's essential to my definition: Human-centric cybersecurity includes everyone--including those doing wrong, unethical, and criminal things.

Cybercriminals, malicious insiders, harassers, fraudsters, nation-state actors, extremists--anyone using cyberspace to harm others.

Let me be absolutely clear: This is not condoning harmful behavior. Victims deserve justice and priority care. Understanding is not excusing. Empathy is not sympathy. But effective defense requires understanding adversary behavior and motivation.

Here's why this matters for security: When we dehumanize attackers, we miss prevention opportunities, create ineffective countermeasures based on caricatures, lose intelligence from understanding patterns, and perpetuate cycles without addressing root causes.

Some cybercriminals are teenagers who could redirect toward ethical careers. Some operate from collapsed economies where cybercrime is one of few income sources. Some act from mental health crises or coercion. None of this excuses their actions--but understanding makes us better at stopping them and protecting future victims.

If human-centric security is only for "good" people, we're just technology-centric security with friendlier marketing. True human-centric security means grappling with the full complexity of humanity--including its darkest corners.

Practical Integration: The Fourth Pillar

Finally, this isn't just philosophy--it requires practical integration into how we actually do cybersecurity. Current frameworks (NIST CSF, ISO 27001) provide excellent technical guidance but rarely incorporate cyberpsychology, cybersociology, or cybercriminology. True effectiveness requires integrating these throughout--not as afterthought, but as core design principle. I will cover this topic as another series of blogs--how to integrate human elements into current frameworks such as NIST CSF and ISO 27001.

Human-Centric Cybersecurity means:

• Designing controls informed by psychological research on how people actually behave online
• Creating policies recognizing sociological patterns in how groups use technology
• Building threat models incorporating criminological understanding of adversary motivation
• Measuring success by human outcomes--wellbeing, dignity, flourishing--not just technical metrics

And critically, as AI transforms our field: AI is taking over many functions, but humans must remain central. AI comprises tools--powerful enablers augmenting capability, not replacing human judgment, ethics, and care.

The World Economic Forum's Global Cybersecurity Outlook 2025 notes the cyber skills gap increased 8% since 2024, with two-thirds of organizations facing moderate-to-critical skills gaps (World Economic Forum, 2025). As we deploy more AI, we risk widening the gap between technological capability and human understanding. We must not leave humans behind.

AI cannot understand human context behind criminal behavior, make ethical judgments, recognize intervention opportunities, or exercise wisdom in ambiguous situations. These require human insight--informed by psychology, sociology, and criminology.

The Vast Lacking Piece

This vision--care, dignity, psychological understanding, social dynamics, criminological insight, framework integration, and human agency in an AI world--represents the vast lacking piece in current cybersecurity.

Traditional education produces technologists who understand systems but not the humans using them. We need professionals conversant in computer science AND psychology, network security AND sociology, threat intelligence AND criminology, technical controls AND human behavior.

Throughout my blog, you'll see how these human elements manifest: how cyberpsychology explains why awareness training fails, how cybersociology reveals patterns creating vulnerability or resilience, how cybercriminology transforms understanding of adversaries, how we protect victims without dehumanizing offenders.

Because we don't protect systems for systems' sake. We protect them because they serve human needs, enable human flourishing, and connect human lives--all human lives, including those of people who make terrible choices.

If we lose sight of that fundamental truth, we've already lost what matters most.

Moving Forward

"Cybersecurity FOR and WITH humans--protecting, understanding, and caring for all people in cyberspace, including those who cause harm, because effective security requires understanding humanity in its full complexity."

This is not just theory. This is the future of cybersecurity--where humans are not the weakest link, but the strongest living asset when properly understood, supported, and integrated into security design.

Are we ready for this transformation?

Over the coming posts, I'll show you how. We'll explore practical integration into NIST CSF and ISO 27001, examine cyberpsychology in action, and build a roadmap for organizations of any size. This isn't aspirational--it's achievable.

The question isn't whether we can put humans at the center. It's whether we're willing to start.

ーーー

References　出典・参考文献

Gartner. (2023, March 28). Gartner unveils top eight cybersecurity predictions for 2023-2024. https://www.gartner.com/en/newsroom/press-releases/2023-03-28-gartner-unveils-top-8-cybersecurity-predictions-for-2023-2024

IBM. (2024). CISOs list human error as their top cybersecurity risk. IBM Think Insights. https://www.ibm.com/think/insights/cisos-list-human-error-top-cybersecurity-risk

ISC2. (2024, October 31). Results of the 2024 ISC2 cybersecurity workforce study. https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study

Verizon. (2024). 2024 data breach investigations report. Verizon Business. https://www.verizon.com/business/resources/reports/dbir.html

World Economic Forum. (2025, January 13). Global cybersecurity outlook 2025. https://www.weforum.org/publications/global-cybersecurity-outlook-2025/