ファイナンシャルプランナーや税務アドバイザーを対象にした最近のサイバーセキュリティ啓発イベントで登壇した際、参加者はテーマに強い関心を示してくれました。
世界中のカンファレンスでよくあることですが、発表後に参加者がスピーカーに近づき、疑問点を質問したり、プレゼンテーションの内容についてフィードバックを伝えたりすることがあります。今回特に印象的だったのは、私の話を聞いて「怖かった」と言う参加者が多かったことです。
オフィスへ戻る道中、「怖かった」という言葉が頭の中でエンドレスに繰り返されました。最初は、セキュリティの脅威とリスクについての啓発が十分にできなかったのではないかと感じました。同時に、ただ自分のビジネスや身を守るために何をすればよいかを知りたいだけの人々に対して、私たちサイバーセキュリティ業界が脅威を恐ろしく・技術的で・圧倒的に聞こえる形で語ることで、必要以上に難しく捉えさせてしまっているのではないかとも思いました。
脅威の語り方に潜む問題
私の講演を聴いたことがある方はご存知のとおり、私は「世界が終わる」などと大げさに叫んだり、無責任な誇張に乗っかったりするタイプではありません。恐怖・不安・疑念、いわゆるFUD(Fear, Uncertainty, and Doubt)でセキュリティを売り込むことは信じていません。情報セキュリティを重要なビジネス課題として認識してもらうことが自分の役割だと常々考えており、恐怖心で人々に製品を買わせることが目的ではないのです。
私は新しいセキュリティの脅威に直面しても、自然と「管理すべきリスク」として捉える傾向があります。しかしセキュリティコンサルタントという職業柄、データ侵害やCEO詐欺、ランサムウェアについて冷静に語ることに慣れすぎており、この分野にそれほど精通していない人々がどれほど恐怖を感じるかを、気づかないうちに見過ごしているのかもしれません。
しばらくして改めて振り返ると、イベント直前に主催者の一人と交わした会話を思い出しました。彼はファイナンシャルプランニングの仕事をしている方で、当然ながら私のビジネスと個人の両面で適切な保障ができているかを尋ねてきました。保険や年金の観点からはほぼ問題ないと思っていましたが、彼との会話を通じて考えさせられ、正直に言えば、自分が完全に守られているかどうか、重要な何かが抜けているのではないかと少し不安になりました。
専門外の場に立つということ
彼の意図は私を怖がらせることではなかったと確信しています。彼はただ自分の専門知識を私の状況に当てはめていただけです。金融の非専門家である私自身が、そのような反応をしてしまっただけなのです。
結局のところ、誰もが自分の分野においては専門家です。イベントの主催者はたまたまファイナンシャルプランニングの仕事をしており、年金や保険は自然な会話の糸口でした。ちょうど私にとっての情報セキュリティがそうであるように。自分の専門外の領域に踏み込むと、程度の差こそあれ不安や心配が生じるものです。テクノロジーに不慣れな人にとっては、技術的な話を少し聞くだけでパニック寸前になることもあります。
問題の一因は、私たちが使う言葉にあります。サイバーセキュリティの世界では「脅威アクター」「高度持続的脅威(APT)」「フィッシングキャンペーン」「認証情報の侵害」といった言葉が飛び交います。私たちにとってはごく日常的な用語ですが、業界外の人々にはスパイ小説の中の言葉のように聞こえることもあります。実際には、犯罪者、詐欺、不正行為、そして金銭や情報を騙し取ろうとする人々の話をしているにすぎません。
目指すのは専門知識ではなく、自信
サイバー犯罪の警告に圧倒された人々は、二つのうちどちらかの反応を示しがちです。複雑すぎる、あるいは過剰な警告だと感じてアドバイスを無視してしまうか、失敗を恐れるあまりテクノロジー自体を使うことを避けてしまうかです。どちらの反応も、問題の解決にはつながりません。
セキュリティの観点から振り返ると、今回の経験は貴重な気づきを与えてくれました。私たち業界人が当たり前と感じていることが、業界外の人々には恐ろしいテーマに映り得るのです。
実際のところ、ビジネスに携わる多くの人々は、法務・財務・広報など、他の専門家の知識に頼っています。その専門家たちも、私たちが馴染みのない用語を使うことがあります。私たちがその分野の専門家になる必要はなく、専門的なサポートを提供してくれる相手に対して、適切な質問ができる程度の知識を持つことが大切なのです。
逆に、私たちが知識を提供する側になった場合は、相手を怖がらせるのではなく、教育的なメッセージをいかに届けるかを考える責任があります。
サイバーセキュリティとは、ハッカーや情報漏洩、最悪のシナリオを語って人々を怖がらせることではありません。リスクを減らすために実践できる具体的なステップを理解してもらうことが、本来の目的です。
目標は、すべての人をサイバーセキュリティの専門家にすることではありません。詐欺を見抜き、的確な質問をし、情報に基づいた判断を下し、テクノロジーを自信を持って活用できるよう支援することです。セキュリティに関する講演を聞いた人が、恐れるのではなく力を得た感覚で帰っていくなら、私たちは本来の役割を果たせたといえるでしょう。
翻訳元: https://www.helpnetsecurity.com/2026/07/01/raising-cybersecurity-awareness-for-non-experts/