｢人はだまされる｣｢教育では限界｣…人間を見限った会社ほど､サイバー攻撃に強くなれる納得の理由 《AIも暴走しうる》

迅速な返信、業務効率、顧客対応。攻撃者はその業務環境そのものを悪用する。つまり問題は、個々人の注意力というより、「人間に過度な判断を委ねる設計」にある。

それにもかかわらず、多くの企業は依然として「全員に同じ訓練」「全方位を均等に守る」という発想から抜け出せていない。しかし攻撃者は無差別ではない。組織内で価値の高いアカウント、権限の強いユーザー、重要データにアクセスできる人物を優先的に狙う。

ならば防御もまた、それに合わせて重点化されるべきだ。

重要なのは、役割や権限、扱う情報の機密度、外部との接点の多さといった要素をもとに、「誰が最も狙われやすいか」を可視化することだ。特権ユーザー、財務担当者、経営層、研究開発部門などは、攻撃者にとって高い価値を持つ。

すべてを均等に守るのではなく、リスクの高い層に対して訓練、監視、技術的保護を集中的に強化する。こうすることによって限られた防御リソースを最大効果が得られる場所に投下することができ、経営的合理性に沿った判断ができる。

サイバー防御は、もはやIT部門だけの課題ではなく、リスクマネジメントの一環として経営判断の対象となるべき段階に入っている。

人が「判断しなくて済む状態」をつくる

Verizonの「2025 Data Breach Investigations Report（2025年度 データ漏洩/侵害 調査報告書）」 によれば、重大なセキュリティ侵害の原因のうち、システムの脆弱性を直接悪用したものは約20％にとどまる。

一方で、フィッシング、なりすまし、アカウント侵害など、人間を標的とした攻撃は約60％を占める。攻撃者はサーバーよりも、従業員の勘違いを誘引して、クリックさせることを狙っている。