Day 89「多さ」ではなく「効く」統制　 "Effective" Controls, Not "More"

サイバー判断力によるヒューマン・ハードニング

» 2026/01/26

[シリーズ構造] 柱F｜判断はどこで起きるのか

統制は「多さ」ではなく、プレッシャーの中でも機能することが重要です。本稿では、リスク許容度の〈上／境界／下〉それぞれで、私たちが取るべき行動を整理し、判断・摩擦・責任のバランスによって、残余リスクを許容度内に保つ「効く統制」の考え方を示します。

▶ シリーズ全体マップ： 人間のしなやかさ ― サイバー判断力のために

▶ 柱F｜リスクとガバナンス 関連記事：

• Day 81｜リスクを語れる共通言語をつくる
• Day 82｜ネガティブリスクとポジティブリスク ― 不確実性の両面を統治する
• Day 83｜サイバーリスクの構造化 ― 「気になる話」を比べられるシナリオに変える
• Day 84｜リスク・トレランスという境界線 ― 限界が重要な理由
• Day 85 | リスク許容度とは何か ―判断を本当に変える問い
• Day 86 | 判断はどこで起きるのか ― リスクが行動に変わる瞬間
• Day 87 | 良いコントロール／悪いコントロール
• Day 88 | コントロールが多すぎる組織は、なぜ疲弊するのか
• Day 89 | 「多さ」ではなく「効く」統制

「多さ」ではなく「効く」統制

― リスク許容度の〈上／境界／下〉で、私たちは何をするか
（※ 最低限のセキュリティ衛生は常に前提）

過剰な統制が壊れるのは、人に規律がないからではありません。
プレッシャーが、制度そのものを変えてしまうからです。

インセンティブはずれ、摩擦は増え、抜け道は「不正」ではなく「合理的」になります。判断は曇り、そして「例外」は

まれであるはずなのに、静かに「通常」になっていきます。

私はこれを、組織・国・業界を越えて、何度も見てきました。
人々が不注意だからではありません。
求められている運用が、現実に合わなくなるのです。

だから今日は、ここから一度、距離を取りたい。

「もっと良い統制を、追加するには？」

ではなく、もっと難しい問いへ。

現実のプレッシャーの中でも、機能し続ける統制とは何か。

よくある、静かな誤解

「許容度内／境界なら、何もしない」

実務で最も多い誤解は、だいたいこう始まります。

「許容度内だから、受容します。」

そして、ほとんど自動的に、こう続く。

「受容＝何もしない。」

しかし、受容は、「何もしない」ことではありません。

最低限のセキュリティ衛生は「必須」であり常に前提となるベースライン

「許容度内」を語る前に、まず明確にしておくべき前提があります。

許容度内とは、"統制ゼロ"を意味しません。

それは、最低限のセキュリティ衛生、 いわゆるベースライン統制が、常に実装され、有効に維持されていることを前提にしています。

リスクが許容度の上にあろうと、境界にあろうと、下にあろうと、この前提は変わりません。

このベースラインには、通常、たとえば次が含まれます。

• ID の基本（MFA、最小権限、入社・異動・退職に伴う権限管理）
• パッチ適用／脆弱性管理の基本サイクル
• 主要ログと監査可能性（少なくとも「調査できる」状態）
• バックアップと復旧の基本
• 端末・主要基盤の安全な設定ベースライン
• 初動対応の準備（役割、連絡・エスカレーション、最初の手順）

したがって、「受容」とは次の意味になります。
それは、楽になることではありません。

最低限の衛生を含む所定の前提条件の下で、その残余リスクを引き受け、前提が崩れないよう、判断と運用を維持する責任を負うこと。

残余リスクとは、定義上、「対策後に残るリスク」です。未管理のリスクでも、忘れられたリスクでもありません。

ところが、組織が「受容」を放置にすり替えると、微妙な、しかし危険なことが起きます。

プレッシャーは消えません。ただ、別の場所へ移動するだけです。

人は調整し、近道が生まれ、統制は形式上は残るのに、運用上は回避される。

こうして、「設計されたシステム」と「実際のシステム」は、静かに乖離していきます。

統制とは何か

ルールではなく"機能"である

統制はしばしば「ルール」と混同されます。ルールを増やし、承認を厳しくし、ゲートを重くすることが統制だと。

しかし統制は、書類や手続きそのものではありません。

統制とは、リスクを変化させる仕組みです。機密性・完全性・可用性といった目的を守るための安全装置です。

実務でプレッシャーに耐えて生き残る統制は、ほぼ例外なく次の 3 機能を通じて働きます。

• 予防（Prevent）：悪い経路を通りにくくする
• 検知（Detect）：逸脱やずれを早期に見つける
• 是正（Correct）：許容度内へ素早く戻す

Day 88 の失敗パターンは、組織が予防に偏りすぎたときに起きます。承認が増え、手続きが遅くなり、摩擦が上がる。そうなると「抜け道」は規律違反ではなく、現実に合わせた合理的な適応になります。

人はルールを壊したいのではありません。
仕事を前に進めたいのです。

変わらないルールは 1 つ、運用モードは 3 つ

変わらないガバナンスルールは 1 つだけです。

対応後の残余リスクは、許容度内でなければならない。

変わるのは、許容度ラインに対してリスクがどこにあるかに応じた「動き方」です。
そしてどのモードでも、最低限のセキュリティ衛生（ベースライン統制）は常に維持されます。

許容度を超える（Above tolerance）

ー制度・システムを変える

リスクが許容度を超えているときの姿勢はシンプルです。

現状のまま受容しない。

ここは是正・改善の領域です。プロセス、統制、契約、技術設計、教育--何かを変えなければなりません。目的は処罰ではありません。リスクが成立する因果連鎖を断つことです。この領域では、リスク対応は明示的で意図的になります。残余リスクが許容度内へ戻るように、システムを調整します。

許容度の境界（At tolerance）

ー 判断そのものが、統制になる

ここが、最も難しい。

許容度の縁にいるとき、ゲートや承認を足せば足すほど、かえって状況が悪化することがよくあります。

摩擦は、判断の質を上げません。むしろ Day 88 で見たパターン--抜け道、判断の霧化、例外の常態化--それらを加速させるだけです。

ここでの鍵は、これです。

• 判断は「期待」するものではない。
• 判断は「設計」するものだ。

「境界」で効く統制は、
たいてい次のような形をしています。

• 受容は恒久ではなく、期限付き（タイムボックス）
• トリガーを定義する（どんな証拠が出たら、再評価するのか）
• 意思決定権限を許容度に合わせる（許容度とは、権限の境界である）
• モニタリングのオーナーを明確にする

これは、「ゆるいガバナンス」ではありません。

プレッシャーの中でも、意思決定が見え、見直せて、必要なら引き返せる。

可視性と可逆性を備えた、ガバナンスです。

境界では、統制の量よりも、判断の質のほうが重要です。

許容度より下（Below tolerance）

ー放置ではなく、維持管理

許容度より下は「永遠に安全」を意味しません。「維持できる限りにおいて許容できる」ということです。そして重要なのは、ここです。

許容度より下は"何もしない"ではありません。意味するのは、ベースライン統制（最低限の衛生）を前提に、追加対策は原則として不要ということ。代わりに必要なのは、維持と監視です。

ここは維持管理の領域です。やることは地味で目立ちません。

• 既存統制（ベースライン含む）の有効性を保つ
• 定期レビューのサイクルを設定する
• ずれの早期指標を監視する
• 前提条件が変わったら再評価する

大きな事件は起きない。--それが狙いです。小さく許容できるリスクが、誰にも気づかれないまま大きく育つのを防ぎます。

バランスポイント

ー「良い統制」とは何か

バランスとは「厳格と緩さの中間」ではありません。ポイントはこれです。

人が疲れていて、急いでいて、プレッシャー下にあっても、残余リスクを許容度内に保てる"最小の摩擦"であること。

そして、抜け道が合理的選択にならないこと。

良い統制は、人間の行動と戦いません。
人間の行動に沿って機能します。

だから統制設計は、チェックリストではなく"技術"であり"工芸"です。

日常業務の例：経費精算

これは普遍的で、同時に「過剰統制が静かに破綻する」典型例でもあります。

目的とリスク（平易に）

• 目的：従業員に公平かつ迅速に立替金を返し、不正や規程違反を防ぐ。
• リスク：領収書の二重提出、水増し、私的支出、例外文化の定着。

許容度より下：受容は"何もしない"ではない

• 状況：単発のミス、少額、影響が軽微。

やること：

• 予防：簡潔な入力構造（領収書添付、カテゴリ選択）
• 検知：軽いサンプリング（例：月次 2〜5% をチェック）
• 是正：素早い訂正と短いフィードバックループ

エスカレーションしない。長引かせない。紙だらけの仕組みにせず、許容度内を維持します。

許容度の境界：判断を"設計"する

• 状況：上限近い申請が繰り返される、解釈がグレー、繁忙期に急増する。

やること：

• タイムボックス：「次の 30 日は X 円超の申請に追加の理由記載」
• トリガー：「例外率が Y% を超えたら、規程／教育を再評価」
• 権限：意思決定者を明確にする
• 監視オーナー：可視化は経理が責任を持つ

無限に承認を増やしません。判断を"見える化"し、"引き返せる"状態にします。

許容度を超える：是正（リメディエーション）

• 状況：明確なパターン--領収書の使い回し、証憑不足など。

やること：

• 低減：検知強化＋証拠要件の明確化
• 回避：特定カテゴリを原則禁止し、事前承認制にする
• 移転（部分）：カテゴリ制限付きのコーポレートカード導入
• 例外として受容：権限者の承認、根拠、期限付きのみ

悪い経路は通りにくく、良い経路は通りやすくします。

締め

今日は、リスク・判断・行動の話でした。

• いつ是正するか
• いつ判断を設計するか
• いつ静かに維持するか

明日の Day 90 では、次の問いに進みます。

許容度の境界で下した判断が、気づかないうちに許容度の外へ"ずれ"ないように、どう継続監視するか？

なぜなら、リスクはたいてい爆発しない。
静かにずれていくのです。

――――

[Series Structure] Pillar F | Where Judgment Happens
More controls do not automatically mean better security. This article reframes controls as functions that must work under pressure, not rules to accumulate. By looking at what to do above, at, and below risk tolerance, it shows how effective controls balance judgment, friction, and responsibility--so risk stays within tolerance without breaking the system.

▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar F (Risk & Governance):

• Day 81 | Building a Shared Language for Risk
• Day 82 | Negative vs. Positive Cyber Risk -- Governing Both Sides of Uncertainty
• Day 83 | Structuring Cyber Risk -- Turning Concerns into Comparable Scenarios
• Day 84 | Risk Tolerance as a Boundary -- Why Limits Matter
• Day 85 | Defining Risk Tolerance -- The Questions That Actually Change Decisions
• Day 86 | Where Judgment Happens ー When Risk Turns into Action
• Day 87 | Good Controls / Bad Controls
• Day 88 | Why Over-Controlled Organizations Burn Out
• Day 89 | "Effective" Controls, Not "More"

"Effective" Controls, Not "More"

What we do above / at / below risk tolerance

Day 88 ended with an uncomfortable realization: over-control doesn't break because people lack discipline. It breaks because pressure changes the system. Incentives shift. Friction rises. Workarounds become rational. Judgment turns to fog. And exceptions--meant to be rare--quietly become normal.

I've watched this repeat across organizations, countries, and industries. Not because people are careless--but because the system they're asked to operate no longer fits the reality they're in.

So today I want to step away from:
"How do we add better controls?"
...and ask something harder:

What kind of controls still work when pressure is real?

The quiet misunderstanding:

"At / below tolerance means no action"

In real operations, the most common misunderstanding sounds like:
"It's within tolerance, so we accept it."
...and then, almost automatically:
"Accept means do nothing."

But that is not what acceptance means.

Minimum security hygiene is non‑negotiable (baseline assumption)

Before we talk about "within tolerance," we need to name the baseline that is always assumed:

Within risk tolerance never means "no controls."
It assumes minimum security hygiene controls are already in place and remain effective--no matter where the risk sits relative to tolerance.

That baseline typically includes things like:

• identity fundamentals (MFA, least privilege, joiner/mover/leaver discipline)
• patching / vulnerability management at a basic cadence
• key logging and auditability (enough to investigate)
• backups and recovery basics
• secure configuration baselines for endpoints and core services
• basic incident response readiness (roles, escalation paths, first actions)

So when we say a risk is "accepted," what we mean is more specific--and more demanding:

We are willing to live with the residual risk, under stated assumptions, and we take responsibility for keeping those assumptions true.

Residual risk is, by definition, the risk that remains after treatment. It is not unmanaged risk. It is not forgotten risk.

When organizations quietly translate accept into ignore, something subtle happens: pressure doesn't disappear--it just moves. People adjust. Shortcuts emerge. Controls stay formally intact, but are operationally bypassed. And slowly, the real system diverges from the designed one.

What controls really are

Function, not paperwork

Controls are often mistaken for rules: more rules, stricter approvals, heavier gates.

But controls are not paperwork.
Controls are mechanisms that modify risk--safeguards that protect objectives like confidentiality, integrity, and availability.

In practice, controls that survive pressure almost always work through three functions:

• Prevent -- make the bad path harder
• Detect -- notice drift early
• Correct -- bring things back inside tolerance quickly

The failure mode from Day 88 shows up when organizations rely almost entirely on prevention. Approval layers multiply. Processes slow. Friction rises. At that point, workarounds aren't signs of poor discipline--they're rational responses to a system that no longer matches reality.

People aren't trying to break the rules. They're trying to keep work moving.

One rule, three operating modes

There is one governance rule that doesn't change:

Residual risk, after action, must be within risk tolerance.

What changes is how we act--depending on where risk sits relative to that tolerance line.

Above tolerance

Change the system

When risk sits above tolerance, the posture is simple:

Do not accept it as-is.

This is the remediation zone. Something in the system must change--a process, a control, a contract, a technical design, a training approach. The goal isn't punishment. It's to break the causal chain that makes the risk possible.

This is where risk response is explicit and deliberate: the system is adjusted so residual risk can move back inside tolerance.

At tolerance

Judgment becomes the control

This is the hardest place.

At the edge of tolerance, adding more gates often does more harm than good. More friction rarely produces better judgment. Instead, it accelerates the exact pattern from Day 88: workarounds, fog, and the normalization of exceptions.

Here's the key: judgment must be designed, not assumed.

Effective "at tolerance" controls tend to look like this:

• Acceptance is time-boxed, not permanent
• Triggers are defined (what evidence forces re-evaluation)
• Decision rights align with tolerance (tolerance is an authority boundary)
• Monitoring ownership is explicit

This isn't "soft" governance. It's governance that stays visible under pressure--where decisions can be seen, revisited, and reversed.

At the edge, the quality of judgment matters more than the quantity of controls.

Below tolerance

Maintenance, not neglect

Below tolerance does not mean "safe forever."
It means acceptable--if we keep it that way.

This is the maintenance zone. Actions here are quiet and unglamorous:

• Keeping existing controls effective
• Setting review cadence
• Watching early indicators of drift
• Re-evaluating when assumptions change

Nothing dramatic happens here--and that's the point. This is how you prevent small, acceptable risks from drifting into large ones without anyone noticing.

The balance point

What "good control" really is

The balance point isn't moderation. It isn't the midpoint between strict and loose. It's this:

The minimum friction that keeps residual risk within tolerance--even when people are tired, rushed, and under pressure--without making workarounds the rational choice.

Good control doesn't fight human behavior.
It works with it.

That's why control design isn't a checklist exercise. It's a craft.

A daily business example: employee expense reimbursement

This is universal--and it's also a familiar place where over-control quietly fails.

Objective + risk (plain language)

Objective: reimburse employees fairly and quickly, without fraud or policy breach.
Risk: duplicate receipts, inflated claims, non-business expenses, exception culture.

Below tolerance: "Accept" doesn't mean do nothing

Situation: one-off mistake, small amount, low impact.

What you do:

• Prevent: simple structure (receipt upload, category selection)
• Detect: light sampling (e.g., 2-5% monthly review)
• Correct: fast correction + short feedback loop

Nothing escalates. Nothing lingers. The system stays inside tolerance without becoming a paperwork machine.

At tolerance: judgment by design

Situation: repeated near-limit claims, gray interpretations, spikes during busy periods.

What you do:

• Time-box: "For the next 30 days, claims over X need extra justification"
• Triggers: "If exceptions exceed Y%, re-evaluate policy/training"
• Decision rights: explicitly defined
• Monitoring owner: finance owns visibility

You don't add infinite approvals. You make judgment observable--and reversible.

Above tolerance: remediation

Situation: clear patterns--reused receipts, missing documentation.

What you do:

• Mitigate: stronger detection + evidence rules
• Avoid: disallow certain categories unless pre-approved
• Transfer (partial): corporate cards with category limits
• Accept by exception: only with authority, rationale, and expiry

The bad path becomes hard. The good path stays easy.

Bridging to tomorrow

Today was about risk, judgment, and action:

• When to remediate
• When to design judgment
• When to maintain quietly

Tomorrow in Day 90, we move to the next question:

How do we monitor continuously--so decisions made "at tolerance" don't drift silently outside it?

Because risk doesn't usually explode.
It drifts.

Reference　出典・参照文献

1. NIST SP 800-30 Rev.1 Guide for Conducting Risk Assessments, https://csrc.nist.gov/pubs/sp/800/30/r1/final Source
2. NIST：Residual Risk, https://csrc.nist.gov/glossary/term/residual_risk Source
3. NIST SP 800-37 Rev.2 Risk Management Framework for Information Systems and Organizations, https://csrc.nist.gov/pubs/sp/800/37/r2/final Source