文系でもわかるセキュリティの話

文系でもわかるセキュリティの話 2026-02-14 OWASP Kansai Chapter Meeting はせがわようすけ

長谷川陽介(はせがわようすけ) @hasegawayosuke @hasegawa.bsky.social  (株)セキュアスカイ・テクノロジー 取締役CTO  セキュリティ・キャンプ協議会代表理事  千葉大学 非常勤講師 WebブラウザーやWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

• https://utf-8.jp/

質問 自分は文系？理系？ 文系だと思う人、挙手！

経歴 神戸市立高専 電子工学科卒 産業用計測機器の電子回路設計 Windowsアプリの開発 歳を重ねるにつれ どんどん上のレイヤーへ Webアプリのセキュリティ 取締役として経営に参画 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

経歴 神戸市立高専 電子工学科卒 産業用計測機器の電子回路設計 Windowsアプリの開発 歳を重ねるにつれ どんどん上のレイヤーへ Webアプリのセキュリティ 取締役として経営に参画 社会心理学への興味関心 哲学・倫理学への興味関心 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

セキュリティは一人では達成できない  組織や社会をセキュアにするためには周囲との協調的な取り組み が必須  周囲の人や社会との協調的な取り組み…文系学問の活かせると ころ  コンプライアンス、ガバナンス、立法→法学  セキュリティの取り組みはどのようにすれば社会に対して展開、浸透する のか→社会学、経済学  どのように訴えかけることで周囲の人の行動変容を促せるのか→心理学  セキュリティに取り組むときの倫理的な心構え→倫理学  海外を含む地政学的なリスクの把握→国際政治学  技術（理系の学問）だけでは解決できない課題がたくさんある 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

心理学とセキュリティ

心理学とセキュリティ  ウイルスメールやサポート詐欺など、人を対象とした攻撃では心理 学的な知見が多数盛り込まれている  さまざまな細工で心理的にメールを開きたくなったり指示に従いたく なったりする文面  意図的なのか、偶然の適応進化の結果なのか不明  防御する側はフィルター精度向上のような技術的解決か、人に対 しては「怪しいメールは開かない」のような精神論に終始している  ここはもっと心理学的な研究が行われることで、より効果的な行動変容 につなげられる余地があるのでは 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

心理学とセキュリティ  例えば防災に関しては、リスクコミュニケーション等の分野で心理 学的な研究が行われている  災害時の避難情報を受け取った人に対して、情報が行動変容につながっ たか等が調査されている  セキュリティ面でそのような調査は行われているのか  「怪しいメールを開かない」：メールを実際に開いてしまった人、開かずに 留まった人の違いがどこにあるのかの調査は行われているのか  どのような状況であればどのような呼びかけが効果的なのか、体系的な 研究は行われているのか  （個人的な体感としては）セキュリティにおける心理学的な調査、研究はま だまだ行われていないように思える 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

行動経済学とセキュリティ

行動経済学とは  人は合理的に行動するという前提の伝統的な経済学に対し、必ず しも合理的ではないという前提で心理学的な観点も含め、どのよ うに経済的な判断、行動をするかということを研究する領域  「ナッジ」 - 行動経済学の応用  人の行動原理に基づき、自発的によりよい選択ができるよう支援・介入す る取り組み  (コロナ禍でよく見られた)レジ前の 間隔をあけて並ぶための足跡マーク やテープの印など 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

行動経済学とセキュリティ  セキュリティのために他者に行動変容を促す機会は多い  「不審なメールを開かないように」「パスワードは安全なものを付けて」等  部分的には（経験則的に）ナッジが取り入れられている  例えばパスワード設定時の 強度インジケーター 新しいパスワード ********** 弱 強  セキュリティへの取り組みにおいても、今後もっと広く応用される ことで人間の負荷を下げながら安全性を高める方向に寄与でき るかもしれない  自分は具体的な答えを持っているわけではないが、期待はしている 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

倫理学とセキュリティ

倫理学とは  人の「すべきこと」「正しさ」など規範に関する普遍的な原則を探求 する学問(規範倫理学)  倫理について探求する哲学の一分野（と位置付けられることが多い）  セキュリティの分野においても「倫理的に取り組むこと」「正義の ハッカー/Ethical Hacker」等、倫理が要求される場面は非常に 多い  にもかかわらず、たいていの場合それは「法律に従う」と同じ程度の意味 しか指していない 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

法律に従うことが倫理なのか  法律は所定の手続きに従って人が定めたもの  所定の手続きに従ってさえいれば内容は問われない(法実証主義)  つまり、普遍的な倫理原則と法は無関係という考え方もある  現実的に法と倫理が重なる領域は多いものの、歴史的にはそうで ないものも多数ある  ニュルンベルク法(ホロコーストによるユダヤ人迫害)、らい予防法など  市民的不服従： 法律を犯すことで正義を主張する  そもそも他者の定めた規則に盲従することが倫理的なのか  セキュリティのルールを他者に強制させることに倫理的な問題はないの か 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

セキュリティ対策を他者に呼び掛ける際の倫理的な懸念 行き過ぎた保護（パターナリズム）は個人の自律や自由を侵害する  例： マルウェアに感染していないか市民のPCとスマホを行政が監視す る  選択の機会と十分な情報の提供が与えられているか 単一の価値観で全体が方向づけられる  古いOSを動かすことが許容されない世の中は健全か 呼びかけに応じた自発的な行動変容が求められる  自己責任が必要以上に強調される可能性がある  セキュリティ対策が行えない組織や人への差別や偏見へとつながる可能 性がある 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

倫理学とセキュリティ セキュリティには倫理的な観点が必要とされながらも、倫理学 の枠組みの中でセキュリティが語られることはほとんどない 常に考え続けることこそが求められる倫理的な姿勢なのでは  「どうすればいいか教えてほしい」という誘惑に抗う必要性がある  とはいえ、全員がその領域に詳しいわけではなく、他者から行動の指 針を示してほしいという気持ちを抱くことはとてもわかる 少なくとも、倫理とは何かを考えずに与えられたルールを盲従 することや、表層的な倫理観を他者に押し付けることが倫理的 であるかはきちんと考えなくてはいけない 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting

まとめ

まとめ - 文系の学問とセキュリティ  文系学問の知見がセキュリティ領域にも求められるシーンは多い  ITが社会の一部としての重要な位置を占め、意識していない人を含め 人々へ与える影響が大きくなっているので、社会や人を対象とする学問 が必要とされる  が、現時点ではまだまだ文系学問が活用されているとは言い難い  「文系ですがセキュリティ業界で働けますか？」「文系なのでセキュリティ は苦手です」といったことをたまに聞くが、むしろ文系だからこそ開拓で きる領域がたくさんありそう 撮影OK SNS投稿OK 2026-02-14 OWASP Kansai Chapter Meeting