セキュリティ対策チームやセキュリティ専門家による国際会議である「21th Annual FIRST Conference Kyoto」が6月28日より7月3日までの間、京都にて開催された。2日目の基調講演では、英国British Telecom(BT)のCSTO(Chief Security Technology Officer) Bruce Schneier氏による講演が行われた。タイトルは「Reconceptualizing Security」だ。
セキュリティにおける「感情」と「事実」とのかい離
講演は、セキュリティに関する議論において「安全であると感じることと、事実安全であることは違う」という話から始まった。両者が一致していれば問題はないが、現実には、危険な状態を安全と感じてしまっていたり、安全な状態を危険であると誤解していることがある。そして、セキュリティとは相変わらずトレードオフの問題でもあるとも。セキュリティは利便性と安全性のバランスをとりながら我々は生活している。このトレードオフは、実は周辺の環境によっても変化する。現在なら、経済状況がセキュリティのトレードオフに影響を与えているわけだし、9.11テロは空港や航空機のセキュリティのトレードオフを変えたというわけだ。
続けてSchneier氏は、トレードオフを決めるものはそれだけではないという。人間の認知行動も深くかかわっており、それが安全か危険かの事実を正しく反映していないと問題になるという。最近の認知科学や脳科学では、リスクや恐れに対する判断は、思考的に行うよりも認知をショートカットして行動しているということがわかってきているそうだ。うさぎは狐を発見すると、それを狐と認識する前に行動している、大脳新皮質の働きより扁桃体の働きが行動を決めている、といった研究がある。種の生存のためにはリスクに対する行動はスピードが重要であり、このようなショートカットが形成されるというのだ。リスクや社会が単純なら、このようなスピード重視でよいのだが、現在の人間社会ではそうではない。
そのため思考的な判断も重要になってくるのだが、これも正しい判断がなされるとは限らない。人間は未知のもの、あまり経験がないもの、知らない人などに対して、リスクが高いと感じる。あるいは、自分は大丈夫だと思い、自発的なリスクは多発的なものより過小評価する傾向もある。情報セキュリティでは、情報漏洩は内部からの問題が多いのに、外部からの攻撃に対しての防衛や対策に注意が向いてしまうことがよくある。事故発生率では、自動車よりも安全な飛行機を怖がるというのも同様だ。
Schneier氏によれば、このような認知のバイアスをなくすためには、実例を知ることが重要だという。事実(Reality)と感情(Feeling)のかい離を補正するという意識と、それに必要な事実や実例をきちんと把握することの大切さを説いていた。
複雑な事象を「モデル」化することの弊害
実例や事実を知るというフェーズでも注意すべき点がある。複雑な事象や事実は、モデル化されることが多い。感情もモデルも、現実の投影、あるいは表現方法のひとつにしか過ぎないので、モデルによる事例などは「事実」ではないからだ。モデルはむしろ感情に近いものだという。なぜなら、モデルには「アジェンダの考え方」があるからだという。モデルには、構築する側のステークホルダーのアジェンダ(こうあるべきだという手順や指針)が反映されるが、アジェンダが科学的なものならそうでもないが、政治的、経済的な要素が反映されたモデルは、感情を操作したり誘導したりするために使われることさえある。この場合のステークホルダーは、メディア、業界、政府、個人も含まれる。あらゆる立場のアジェンダが存在する。
しかし、だからといってモデルや感情が事実やセキュリティにとって障害になるとか排除せよということではない。感情は人間の活動に不可欠でモデルも社会認識やテクノロジーにはなくてはならないものなので、これらのよい相互作用を維持していかなければならない。
同時に、技術が新しい事実を生み、それに伴い新しいモデルも生まれている。それらの認知や概念についても固定的なものではない。したがって、事実、感情、モデルの3つの関係は決して収斂することはない、とSchneier氏はいう。
さらに、リスクにかかわる評価や感情の変化は非常にゆっくりとしたものであるとして、煙草の害やシートベルトの着用について、いまでは当たり前になっていることを例に挙げ、それが浸透するのに10年以上というスパンが必要だったと述べた。そして、情報セキュリティにおいても同様で、技術や社会の変化はますますスピードアップするが、人間の感情や感覚はそれほど速くは変わっていかないだろうとの認識を示した。
技術だけでなく認知科学的視点でのアプローチも重要
最後は、このような認識に立ち、セキュリティ関係者は、技術的なアプローチだけでなく、事実、感情といった認知科学的な視点やアプローチをとり、両者をなるべく整合させるようなモデルを考えること、そのための正しい情報共有の重要性、それを実践することの難しさを強調して講演を終えた。
