Distibuted security incident response organization -- Torsten Enquist (TeliaSonera-CERT, SE)

http://www.teliasonera.com/

TeliaSonera-CERTの活動の紹介。TeliaSoneraはスウェーデンの通信事業者。
組織体制、社内での位置づけや役割、メンバーのトレーニングなどについての話。イマイチ中身がなかったので省略。

CSIRTと情報セキュリティガバナンス　-- 山川　智彦（NTTデータ）

日本企業におけるCSIRTのあり方についての話。大事な内容だとは思うが、つまらなかったので省略。

キーノートスピーチ：人はなぜ危機に備えないのか -災害に備えない人の心理を探る− -- 片田　敏孝（群馬大学大学院）

プレゼンは「重要インフラ情報セキュリティフォーラム2008」のものと大体同じ。以前に別のところでも聞いたことがある内容。というわけで中身を知っているにもかかわらず、何度聞いてもインパクトがある。ということで省略なし。片田先生のこの話は一度は絶対に聞くべきだと思う。

(講演内容)

• -

津波などの自然災害における避難の実態について。なぜ人は災害が起きても逃げないのか。悲惨な被害を起こさないために、災害に備えるにはどうすればよいか。

人は災害による危険についてよく知っていてても、「自分だけは大丈夫」と思ってしまう。⇒「正常化の偏見」と呼ぶ

• 情報理解の非対称性（交通事故と宝くじ）
• 初着のリスク情報の無視（逃げない非常ベル）
• 自分が被害の当事者になると想像できない

さらに、逃げていない自分を正当化する理由を探す。⇒「認知的不協和」と呼ぶ

このような人の行動を変えるためには、「脅し」の教育から「理解」の教育に変えていくことが必要。人は「脅し」によって与えられた情報はすぐに忘れてしまう。心理的な作用としてそのようにできている。

もう一つの重要なキーワードは、内部観察による住民の心に寄り添うリスク・コミュニケーション。例えば、互いに異なる判断尺度で意思決定を行っている場合、自分の尺度で相手とコミュニケーションしても理解は得られない。相手に判断尺度の違いを認識させ、必要であればそれを変えさえるようにする必要がある。

備えがあれば患いがないのはある意味当たり前。いかに備えさえるかが大事。
「居安思危　思即有備　有備無患」

• -

（ここから感想）
セキュリティ対策の実施における意思決定や、セキュリティ教育のあり方についての示唆に富んだ内容。

Schneierの "Psychology of Security"でも紹介されているが、これまでの様々な研究から人のリスクに対する認知については、以下のようなことがわかっている。

• 人は自然がもたらすリスクよりも、人がもたらすリスクの方を過大に評価する傾向を持っている。
• オプティミズム・バイアス（optimism bias)により、自分には問題は起きないと思い込む傾向がある。
• さらに確証バイアス（confirmation bias）により、自分の誤った判断を正当化しようとする。

またそもそも進化論的に見ても、人は基本的に損失を過小評価する傾向を持っている。なぜなら実際に損失を被った個体は進化の過程で淘汰されていき、残るのは損失を被らずにすんだ個体の集まりだからである。

「なぜ人は危機に際して逃げないのか」という疑問について、こういった研究結果からも説明が与えられると思う。

APCERT Activity Updates -- 伊藤友里恵（JPCERT/CC）

APCERT(Asia Pacific Computer Emergency Response Team)の活動状況の紹介。内容省略。

あー、今日は省略ばっかだ。ちょっと反省。