グローバル標準から見た「日本の守り手」
グローバル標準から見た「日本の守り手」
― なぜ人が壊れる設計のままなのか
世界とつながって見えたこと
昨日、私は National Institute of Standards and Technology(NIST)のHuman-Centered Cybersecurityの議論に触れる機会を得た。
その対話の中で、強く感じたことがある。
それは日本の問題は、日本固有ではない。
むしろ、世界中で同じ構造的な限界に直面している、ということだ。
技術は進化した。でも人は置き去りになった
サイバーセキュリティは、この20年で大きく進化した。
境界防御から始まり、 リスク管理、SOC/CSIRTの高度化、そして今やAIによる自動化。
しかし、その進化の中で、一つだけ取り残されているものがある。
それが人間である。
日本の現場で起きていること
日本の現場では、次のようなことが日常的に起きている。
・インシデント対応者の疲弊
・報告が遅れる組織文化
・「正解」を求めすぎる意思決定構造
・心理的安全性の欠如
・そして、静かな離職
これらはすべて、技術の問題ではない。
構造の問題である。
なぜ人が壊れるのか
現在のセキュリティ設計は、システムの復旧を前提としている。
RTOやRPOは存在するが、そこに「人の回復」という概念は含まれていない。
しかし現実には、
・判断力は劣化する
・ストレスは蓄積する
・信頼は崩壊する
そして最終的に、人が現場を去る。
世界も同じ課題に直面している
NISTにおける議論でも明らかだったのは、この問題が日本だけのものではない、ということだ。
むしろ、グローバル標準の中でも、人間の扱いはまだ不十分である。
必要なのは「設計の転換」
ここで必要なのは、単なる改善ではない。
設計そのものの転換である。
私はこれを、次の4つで整理している。
・Cyber Harm(被害の再定義)
・Cyber Judgment(判断の保護)
・Human-Centered Incident Response
・AI Support(構造としての支援)
結論
セキュリティは、これまで「システムを守ること」だった。しかしこれからは違う。
人間の判断と回復を守ること。
ここに軸を移さなければ、どれだけ技術が進化しても、同じ問題は繰り返される。
セキュリティは復旧した。
でも、人は戻っていない。
この現実から、目を逸らしてはいけない。