スティーブ・ダービンは情報セキュリティフォーラムのCEO。サイバーセキュリティとテクノロジーにおける取締役会の役割について頻繁に講演を行っている。
マサチューセッツ州の議員たちは、親や教育者が長い間認識してきた現実についにメスを入れようとしている。それは、子どもたちがデジタルの誘惑に溺れているという事実だ。マサチューセッツ州で進行中の新法案は、州内の公立学校での携帯電話使用を禁止するもので、すでに全国的に対策を講じているオーストラリアや、新たな法律を必要とせずに学校が禁止措置を実施できる英国の動きに追随するものだ。この動きは、多くの組織がまだ十分に理解していない事実を認識している—私たちとテクノロジーの関係が危険な依存度にまで達しており、それが個人と組織のリスクにつながる可能性があるということだ。
デバイスとテクノロジーに縛られて
人間の行動とサイバーセキュリティの接点を長年研究してきた者として、この依存症が根付き、世界中の企業に警戒すべき結果をもたらしながら広がっていくのを目の当たりにしてきた。
赤ちゃんにiPadを持たせることで、依存症は始まる。
レストランでは、カップルがお互いに向き合うよりもiPhoneに時間を費やしている姿が見られる。
InstagramやFacebookには、味わうことのない食事や訪れることのない場所の無意味な写真があふれている。
生成AIは、芸術的に見られたいと願う人々にとって最新の頼みの綱となり、これらのツールを使って価値や正確さが疑わしい文章や視覚的コンテンツを作成している。
そして依存症は自己増殖していく。
多くの人が一日の始まりと終わりを同じように過ごしている:スマートフォンをスクロールすることだ。これは行動であり、強迫観念であり、あまりにも一般的になっている。子どもの睡眠障害に関する研究結果は、私たちに考えさせるべきだ。
その影響は個人の健康を超え、組織のサイバーセキュリティの核心にまで及んでいる。
職場における依存症の危機
テクノロジーは日常生活に浸透し、その一部となりすぎて、私たちはそれがどれだけの時間と注意を奪っているかをほとんど意識していない。ハーバード・ビジネス・レビューによると、私たちは1日に約1,200回もアプリやウェブサイトを切り替えているという。この絶え間ない切り替えは負担となる。私たちは単に集中力を取り戻すためだけに週に約4時間を費やしていると推定されている。
デバイスやタスク間のこの絶え間ない切り替えは、心理学者が「切り替えコスト」と呼ぶもので、批判的思考や意思決定に必要な精神的リソースの枯渇を指している。
職場の認知に関する研究を行うシャニーク・ブラウン博士は、これらのデジタルな気晴らしが集中力を妨げ、仕事に適切な注意を払う能力を阻害すると説明している。「もし私のワーキングメモリ容量が低ければ」と彼女は述べている。「最初にやっていた仕事に戻るためのコストがより大きくなります。気晴らしは私の精神的能力の一部を奪うのです。」
この認知的な枯渇は単なる生産性の問題ではなく、起こりうるセキュリティ危機なのだ。
サイバーセキュリティ「詐欺流行」との関連
従業員がデバイス間の絶え間ない切り替えによって精神的に疲労していくにつれ、注意力が低下する。警戒心が薄れる。その結果、ますます高度化・頻発化するサイバーセキュリティの脅威に対してより脆弱になる可能性がある。
パンデミック中、フィッシング攻撃は220%増加し、米国国立衛生研究所(NIH)はこれを「詐欺流行(scamdemic)」と呼んだ。サイバー犯罪者は、人間の弱点、例えば騙されやすさ、好奇心、衝動性、単なる注意力の欠如などを特に悪用するよう技術を磨いてきた。
すでに疲労し注意散漫になっている従業員が、会社のCEOを装った緊急の電子メールを受け取り、即座に送金するよう要求された場合、そのような要求の可能性や真実性について客観的に考える前に行動してしまう可能性が高い。その脆弱性がソーシャルエンジニアリング詐欺を促進するのだ。
テクノロジー依存とセキュリティリスクの関係は複数のレベルで作用している:
• 常にデバイスを使用することで、継続的な部分的注意状態が生まれ、潜在的なセキュリティ侵害を示す異常、警告サイン、侵害の兆候(IOC)を見落とす可能性が高くなる。
• デジタルの過剰刺激で精神的に疲れ果てている従業員は、パスワードの再利用、考えずにクリックする、不便に思えるセキュリティプロトコルを回避するなどの近道を取りがちになる。
• テクノロジーの過剰使用によるバーンアウトは、従業員が緊急の要求に衝動的に反応する可能性を高める—これは攻撃者が悪用する心理的圧力だ。
テクノロジーソリューションを超えて
テクノロジー依存に取り組むには、組織が従業員のテクノロジー依存と気晴らしを最小限に抑えるための明示的かつ戦略的な考え方が必要だ。これは以下のように実現できる:
• デバイスが禁止される期間と空間を設けることで、従業員は認知能力をリセットし、新たな集中力で仕事に取り組むことができる。
• 業務時間外の仕事関連のメールを制限することで、常に接続されているという圧力を軽減できる。
• 本物の非デジタル体験について考えるよう促すことで、従業員が自身のテクノロジー依存を認識し対処するのに役立つかもしれない。
重要なのは、これらの取り組みをルールや制限としてではなく、従業員の健康と組織のセキュリティをサポートする方法として位置づけることだ。上級リーダーが会議や対人交流中に明らかに接続を断つとき、彼らは従業員も同様にすることを明示的に許可している。従業員が監視・管理されるのではなく、信頼・サポートされていると感じるとき、彼らはより健全な仕事習慣を自発的に受け入れる可能性が高くなる。
前進への道
マサチューセッツ州の学校での携帯電話禁止は、デジタル依存が積極的な介入を必要とする公衆衛生問題になったことを認識している。あらゆる種類の組織がエンドポイント脅威検出、暗号化、アクセス制御などの保護策で大きな進歩を遂げてきたが、テクノロジーだけでは、テクノロジー依存症やバーンアウトによって悪化する人間の脆弱性に対処することはできない。テクノロジー依存に積極的に取り組む組織は、従業員がより生産的で意欲的になるだけでなく、より警戒心を持ち、セキュリティを意識するようになるのを助けることができる。
