RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

システム復旧の先へ:人間中心のインシデント対応(HCIR)の夜明け

»

サイバーセキュリティの世界において、私たちは長く「技術的な復旧(Technical Recovery)」を磨いてきました。RTO(目標復旧時間)やRPO(目標復旧時点)を定め、封じ込め、駆除、復旧のプレイブックを高度化してきたのです。近年では、NIST SP 800-61 Rev.3のように、インシデント対応を組織全体のリスクマネジメントの中に統合し、発生頻度や影響の低減、対応・回復の高度化が重視されています[1]。それでもなお、大規模インシデントのあと、現場に残るものを見たとき、私はいつも同じ問いにぶつかります。

「いったい誰が、人間をケアしているのだろうか。」

u5292553157_a_minimal_conceptual_visualization_of_decision_dr_61dba9d2-e031-4877-b56f-ca572117b317_1.png

見えない層:サイバーハーム(Cyber Harm)

インシデントが起きると、私たちの視線はログやマルウェア、システムの状態に向かいます。しかし、その裏側で、人間がどれだけの負荷を引き受けているかは、ほとんど可視化されていません。

IBMの調査では、

  • インシデント対応者の67%が日常的にストレスや不安を感じている

  • 68%が複数インシデントの同時対応を常態としている

と報告されています[2]。

こうした負荷は、一時的なものではありません。蓄積し、残り続けます。

私はこの残留する影響を、サイバーハーム(Cyber Harm)と呼んでいます。それは、システムが復旧した後もなお続く、心理的・関係的・社会的なダメージです。ランサムウェア被害などの研究でも、被害は技術的な影響を超え、人・組織・社会へと広がる多層的な「ハーム」として捉える必要性が指摘されています[3]。もし対応者がプレッシャーの中でフリーズし、否認し、判断できなくなるとしたら、それは個人の問題ではありません。

人間を前提に設計されていなかったことによる、設計の失敗です。

インシデント対応に「人間の感情曲線」を重ねる

このギャップを越えるために、私は従来のインシデント対応ライフサイクルに、Human Emotional Curve(人間の感情曲線)を重ねる必要があると考えています。インシデント対応は、単なる技術プロセスではありません。それは、極限状態の中で進む「人間のプロセス」でもあるからです。

NIST SP 800-61 Rev.3がリスクマネジメントとの統合を強調している今[1]、次に必要なのは、そこに人間の認知・感情・回復を組み込むことです。

準備(Cognitive Readiness)

準備は、技術演習だけでは不十分です。

  • 認知負荷が高い状態にあるのは誰か

  • 家庭責任など外的制約を抱えているのは誰か

  • 強い責任感ゆえに燃え尽きやすいのは誰か

人間中心の準備とは、スキルだけでなく、人間の余力と限界を把握することです。

検知(否認のフェーズ)

人間中心の検知は、「心理的安全性」から始まります。責められる環境では、報告は遅れます。安心して言える環境では、検知は早まります。つまり検知とは、技術だけでなく、文化の問題でもあるのです。

対応(絶望の谷)

インシデント発生後の最初の12〜24時間は、最も負荷が高い時間帯です。実際に、初週に長時間労働が集中することが報告されています[2]。

このとき守るべきは、システムだけではありません。人間の判断力(Cyber Judgment)です。そのためには、

  • 強制的な休息

  • ローテーション

  • 判断支援

といった「人間を守る設計」が不可欠です。

復旧(Healing-Centered Recovery)

バックアップが戻っただけでは、復旧とは言えません。

  • 眠れるようになったか

  • 関係は壊れていないか

  • 安心して振り返れる状態にあるか

こうした人間の回復があって初めて、復旧は完了したと言えるのです。

「最も弱い環」から「人間中心の防衛」へ

人間は「最も弱い環」である。この言葉はよく使われます。しかし、それは不十分であり、危険でもあります。私の立場はシンプルです。

インシデント対応は、人間が関わる技術プロセスではない。
人間のプロセスを、技術が支えているのである。

この視点に立てば、変わるのは対象です。

システムを直すから守る人を支えるへ。

復旧の再定義へ

私はNISTとの対話において、既存フレームワークを否定したいのではありません。その先へ進めたいのです。問いはシンプルです。

  • Recoveryに、Human Recoveryを含められないか

  • レジリエンスを、稼働率だけでなく「判断力と人の回復」で測れないか

この問いに答えられたとき、インシデント対応は変わります。

システムを戻す営みから、人と組織を回復させ、守り続ける力を支える営みへ。

参考文献

[1]NIST (2025). Computer Security Incident Handling Guide (SP 800-61 Rev. 3).https://csrc.nist.gov/pubs/sp/800/61/r3/final

[2]IBM Security (2022). Cybersecurity Incident Responders Study.https://newsroom.ibm.com/2022-10-03-New-IBM-Study-Finds-Cybersecurity-Incident-Responders-Have-Strong-Sense-of-Service-as-Threats-Cross-Over-to-Physical-World

[3]Cartwright, E., et al. (2024). Understanding the Human Impact of Cyber Incidents. Journal of Cybersecurity.https://academic.oup.com/cybersecurity/article/10/1/tyae013/7723878

蓮見祥子 2026/04/22 06:43:29 Comment(0)

コメント

コメントを投稿する