なぜ今、人間中心のサイバーセキュリティなのか Cyber Harm Does Not End at Technology
なぜ今、人間中心のサイバーセキュリティなのか
― シリーズ宣言(Day 1)
サイバーセキュリティの話は、どうしても技術の話になりがちです。
どのツールを入れるか。
どう検知するか。
どう封じ込めて、どう復旧するか。
もちろん、それは大事です。
現場はその積み重ねで守られています。
でも、長くこの分野にいると、どうしても拭えない違和感が残ります。
インシデントが起きたとき、本当に壊れているのは、それだけなのだろうか、と。
システムは止まります。
データは失われたり、漏えいしたりします。
けれど、現場で起きているのは、それだけではありません。
判断が揺らぎます。
誰を信じていいのか分からなくなります。
チームの空気が変わり、関係性がぎくしゃくし始めます。
そして、対応が終わったあとも、それは残ります。
疲労だけでは説明できない消耗。
「もう一度あれをやれるだろうか」という感覚。
静かに積み重なっていく不信感。
こうしたものは、レポートにはほとんど残りません。
近年、この「見えない影響」は少しずつデータとしても現れ始めています。
例えば、セキュリティ人材のバーンアウトや離職の問題です。
複数の調査では、多くのセキュリティ担当者が慢性的なストレスや疲弊を感じており、インシデント後にその傾向が強まることが報告されています(Nurse et al., 2022;Sophos, 2023)。
これは単なる「忙しさ」の問題ではありません。
判断の質や対応能力そのものに影響を与える、
構造的な問題です。
それでも私たちは、インシデントを「技術的な出来事」として語り続けています。
なぜ対策が機能しなかったのか。
どのコントロールが足りなかったのか。
どのツールを追加すべきか。
その問い自体は間違っていません。
ただ、それだけでは説明しきれない領域が確実に存在しています。
サイバーインシデントは、単なる技術イベントではありません。
人間と組織に作用する「ハーム(被害)」です。
この視点に立つと、見える景色が変わります。
なぜ現場が疲弊するのか。
なぜ同じような問題が繰り返されるのか。
なぜ「正しい対策」を入れても、守りきれないのか。
それは、技術が足りないからではなく、
人間を前提に設計されていないからかもしれません。
このシリーズでは、これから3カ月かけて、この問題を見ていきます。
扱うのは、次の4つです。
- 被害の波及
サイバー被害はどこまで広がるのか - 守る側の疲弊
なぜセキュリティチームは壊れていくのか - 構造の問題
なぜ個人の努力では解決できないのか - 人間中心の再設計
では、どう設計し直すべきか
まず最初の1カ月では、「被害は技術で終わらない」という現実を丁寧に描きます。
個人、組織、そして社会へ。
影響がどのように広がっていくのかを見ていきます。
サイバーセキュリティは、システムを守るためのものだけではありません。
その先にいる人を守るためのものでもあります。
だからこそ、何を中心に据えて設計するのかを、もう一度問い直したい。
サイバー被害を、システム障害だけではなく人間のハームとして見直すところから、このシリーズを始めます。
参考文献
- Nurse, J. R. C., Williams, M., & Kemp, S. (2022). Stress, Burnout and Security Fatigue in Cybersecurity.
- Sophos. (2023). The State of Cybersecurity Burnout.
Cyber Harm Does Not End at Technology
- Why Human-Centered Cybersecurity Matters Now (Day 1)
Why Human-Centered Cybersecurity, and Why Now
Cybersecurity has long been framed as a technical discipline. In an era where attacks increasingly mimic legitimate behavior and bypass traditional controls, the human layer has become the primary battleground.
We focus on detection rates, response times, and the effectiveness of controls.
We build playbooks, deploy tools, and refine processes.
All of this is necessary.
But it is no longer sufficient.
Because it does not fully explain what is actually happening during and after a cyber incident.
When an incident occurs, systems fail.
Data is lost, stolen, or exposed.
But the impact does not stop there.
Decision-making becomes unstable.
Trust begins to erode across teams and leadership.
Working relationships strain under pressure.
And even after systems are restored, something remains.
A level of exhaustion that is difficult to articulate.
A hesitation the next time a critical decision must be made.
A quiet accumulation of doubt.
These effects rarely appear in incident reports.
However, they are increasingly visible in research.
Studies on cybersecurity professionals show high levels of stress, burnout, and fatigue, particularly following incident response activities (Nurse et al., 2022; Sophos, 2023).
This is not simply a workload issue.
It affects decision quality, response effectiveness, and ultimately, security outcomes.
Yet we continue to describe incidents primarily as technical events.
We ask which control failed.
Which tool was missing.
Which gap needs to be closed.
These are important questions.
But they are incomplete.
Cyber incidents are not only technical failures.
They are events that create human and organizational harm.
Once we acknowledge this, different questions emerge.
Why do defenders burn out even in well-controlled environments?
Why do similar incidents repeat across organizations?
Why does "doing the right things" still fail to prevent meaningful damage?
The answer may not lie in more technology,
but in the fact that our systems are not designed around the humans who operate within them.
Studies consistently show high levels of stress and burnout among cybersecurity professionals, especially after incident response activities.
This series explores that shift.
Over the next three months, I will focus on four dimensions:
- The propagation of harm
- The toll on defenders
- Structural constraints
- Human-centered redesign
The first month will focus on a foundational idea:
Cyber harm does not end at the technical layer.
We will examine how impact extends beyond systems -- into individuals, organizations, and society -- often in ways that remain invisible in traditional security models.
Cybersecurity was never meant to protect systems alone.
It exists to protect the people behind them.
If that is true, then we need to reconsider what we place at the center of our designs.
This series begins with a simple but necessary shift:
to recognize cyber incidents not only as system failures, but as human harm we are responsible for preventing.
References
- Nurse, J. R. C., Williams, M., & Kemp, S. (2022). Stress, Burnout and Security Fatigue in Cybersecurity.
- Sophos. (2023). The State of Cybersecurity Burnout.