About H-CCS

Human-Centered Cybersecurity Society 人と組織の「判断力」を守る
専門家集団

認知科学と実務経験を統合し、
人間中心のサイバーセキュリティを社会に実装します。

Faculty

認知科学 × 実務経験
二つの専門性が、組織に変革をもたらす

「理論」と「現場」、それぞれのプロフェッショナルが一体となって初めて機能するワークショップです。

吉山 洋一
HCC Architect / 認知科学×セキュリティ

吉山 洋一

Yoichi Yoshiyama

人間中心のサイバーセキュリティを、現場視点の設計・実装・教育活動で推進するHCC Architect。セキュリティ戦略の策定から組織設計、教育・人材育成まで幅広く従事し、民間・公的機関など多様な現場での経験を持つ。現在は、誠実な行動が攻撃の入り口になりうるという逆説に着目し、人間の行動特性や意思決定のプロセス設計を活かして、現場の違和感や直感を集団の防衛力へと変える組織設計に取り組んでいる。

HCCデザイン 教育設計 組織開発 コグニティブセキュリティ
「違和感を、組織の力に」
蓮見 祥子
HCC Evangelist / サイバーセキュリティ実務家

蓮見 祥子

Sachiko Hasumi

人間中心のサイバーセキュリティを、研究・実務・社会実装で推進するサイバーセキュリティ実務家。25年以上にわたりグローバル環境で従事し、国際機関を含む組織においてCISOレベルの実務を経験。現在は「人間中心のサイバーセキュリティ(HCC)」を提唱し、Cyber Harm・Cyber Judgment・Resilience・AI Supportを軸とした新しい概念的枠組みの構築と、組織・社会への実装を推進している。

元国連CISO グローバル実務25年+ HCC提唱者 レジリエンス研究
「レジリエンスは練習で身につけられる」

Human-Centered Cybersecurity — 4つの軸

Cyber Harm

被害

Cyber Judgment

判断

Resilience

回復

AI Support

AI構造

Human-Centered
Cybersecurity
Society

人間中心のサイバーセキュリティを社会に実装するための研究・実践・社会発信を行う専門家集団です。

名称H-CCS(Human-Centered Cybersecurity Society)
設立2026年
活動内容体験型ワークショップ、基調講演、顧問・アドバイザリー、学術研究・論文発表、書籍出版
対象領域認知科学×サイバーセキュリティ、ヒューマンエラー防止、組織レジリエンス設計
お問い合わせ導入相談フォームよりご連絡ください
Publishing

書籍

HCC出版は Human-Centered Cybersecurity Society(HCCS)の出版部門です。お問い合わせ:contact@h-ccs.org

Academic

学術論文

Appearances & Media

登壇・メディア

TEDxNagoyaU 2026 — 人間を中心にしたサイバーセキュリティ
人間を中心にしたサイバーセキュリティ サイバー、少し、想像してみてください。 その言葉を聞いたとき、皆さんは何を思い浮かべますか? そこには、何があるのでしょうか。 データでしょうか。 コンピューター、スマートフォン、AI などのテクノロジーでしょうか。 私はこれまで、長い間、世界各地でサイバーセキュリティの現場に立ってきました。 平和維持活動。 フィールドオフィス。 ニューヨーク本部。 グローバル金融機関。そしてコーヒー屋さん。 本当に、さまざまな場所で、 でも、同じサイバーの世界で働いてきました。 サイバーの世界には、本当にたくさんのものがあります。 あらゆるものがつながっています。 メール、動画、スマホ....あげていけばきりがないです。 そんなサイバーの世界で私たちは何をしているのでしょうか。 友達にメッセージを送る。 人が、メッセージというデータを、アプリというテクノロジーを使って、別の人に送る。 マップで場所を探す。 人が、場所というデータを、マップアプリというテクノロジーを通して受け取る。 リモートワークをする。 人が、仕事というデータを、さまざまなアプリというテクノロジーを使って処理している。 どれを見ても、同じ構造です。 つまり、人間がデータをテクノロジーで処理している テクノロジーは、常にサイバーの世界の主役です。 スポットライトを浴び、どんどん進化していく。 例えば、AI。 注目され、投資され、急速に発展していきます。 そして、データも増え続けています。 毎日、膨大なデータがネットの世界に生まれていく。 人々は、そのデータをよりうまく使おうと必死になっています。 これら2つを守るためにサイバーセキュリティは技術を進化させ、制度を整えてきました。 でも人は? 振り返ってみると、データとテクノロジーと一緒に、静かにでも確かにそこには人間がいます。 人間が作り、人間が生き、人間が生活している世界なのに。 それなのに、サイバーの世界というと、語られるのはデータとテクノロジーばかりです。 人間は、置いてきぼりにされている。 そんなサイバーの世界を守るはずのサイバーセキュリティでさえ、 まず守るのは、データとテクノロジー。 そして、それら2つを守るために技術と制度をよりよくしてきました。 実際に、多くの人がサイバーセキュリティと聞いて思い浮かべるのは、 2 段階認証。 暗号。 高度な技術。 ルール。 規制。 法律。 その世界で確かに生きている人間には、あまり光が当たらない。 人は、どこにいってしまったのでしょうか。 サイバーの世界にはデータ、テクノロジーと人間がいます。 私たちが本当に守ろうとしているのは、データとテクノロジーだけではありません。 しかし、セキュリティが進化させてきたのはデータとテクノロジーを守る技術と制度。 一番守られるべきなのは、人間です。 なのに、一番守られていないのも、人間です。 それを強く感じたのは、私が国連で働いていたときでした。 国連は、少し特殊な場所です。 平和を目指す組織ですが、その仕事は、紛争のただ中で行われます。そしてそれは、サイバーの世界でも同じです。 若手の時、初めての大きなサイバーインシデントを担当することになりました。 国家レベルの攻撃でした。その瞬間、私は思いました。 これは、戦場だ。 セキュリティチームは、たった数人。 私はまだなりたてのマネージャー。 でも相手は、何万、何十万という攻撃者。 24時間体制であらゆるところから攻めてくる。 どれだけ対応しても、終わりが見えない。 家には、ほとんど帰れませんでした。 まるで、素手で目の前に広がる見えない戦車、 戦闘機の前に体を張って立たされているような感覚でした。 体力も、心も、少しずつ、削られていく。 ぼろぼろになっていきました。 その上、 同僚、 上司や関係者からは、白い目で見られ、無言の圧力をかけられる。 まさに、孤立無援状態で戦い続けていました。 娘の誕生日も祝えず、ある晩、午前二時ごろ。 私は同僚と、インシデント対応をしていました。 そのときです。 突然、コンピュータの画面がすべて異国の文字に変わった。 画面が、一瞬で読めない文字に変わっていく。 怖かった。本当に、怖かった。 「もう、だめだ。」そう思いました。 コンピュータの前で、途方にくれていました。 白旗をあげたい。でも、あげられない。 薄暗い真夜中のオフィスで、ただただ冷たいデータが流れていくのを眺めていました。 そのときです。 鼻から、何か暖かいものが流れてきました。 広げたノートの真っ白なページに、真っ赤な血が静かに落ちていき、まるで、芯まで冷たい世界の中に暖かい血が広がっていくようでした。 敵も味方も、私を無機質なサイバーの1部品として見ているけれど、ここに、私という生きている人間がいる。 それに気づいた瞬間、私の価値観は根底から変わりました。 サイバーの世界で、本当に大切なのは人間の暖かさだということ。 それまでの私は、技術がすべてだと思っていました。 そして正直に言うと、煩わしい人間という要素がない技術は、楽な世界でした。 サイバーの世界は、人から見れば無機質なデータと技術の世界に見えるかもしれません。 でも、無機質なサイバーの中には、人間がいます。 傷つく人、プレッシャーを感じる人、迷い、揺れる人が、そして、それを攻撃する人がいます。 一番守るべきなのは人間だと気づいたんです。 時に苦しみ、迷い、揺れる、そして間違える、それが人間。 でも、サイバーの世界ではそれが許されない。 ゲームなら、何度でもやり直せます。 でも、サイバーの世界では失敗や間違いが時には、永遠に残る。 失敗が大きな結果を生むこともある。 でも、間違いを経験してこそ、人は成熟できる。 それなのに、私たちはその世界の生き方を教わっていない。 十分な経験も、練習の機会も与えられないままサイバーの世界に放り込まれている。 それが、最大の矛盾です。 人間は、試して、失敗して、また立ち上がる。 成功と失敗を繰り返しながら経験を積み、その中で生きる知恵を身につけていく。 でも、サイバーの世界では失敗の代償が大きすぎる。 そして、どう判断するかは学ばない。 どう迷いと向き合うのかも、どう間違いから立ち直るのかも、教わらない。 だから私は、こう考えています。 必要なのは、強さではありません。「サイバーレジリエンス」です。 それは、しなやかな判断力。 そして、回復する力。 サイバーの世界では、プレッシャーや強い感情、欲望によって人の判断は簡単に歪みます。 焦り。 恐れ。 責任。 時間の圧力。 そうした瞬間に、人は本来守るべき判断の順番を見失ってしまう。 例えば、どうしても欲しいものをオンラインで見つけたとき、 本来なら、確認する。 買う。 送金する。 この順番のはずです。 でも実際には、買う。 送金する。 確認する。 と、順番が逆転してしまう。 そして時には、確認という判断そのものが飛ばされてしまう。 それは、弱いからではありません。 しなやかな判断力を身につける機会がなかっただけです。 だから必要なのは、しなやかな判断力。歪んだ判断に気づき、見失った順番を取り戻す力です。 そして、もう一つ。 何かが起きたときに、折れてしまわない回復力。 戻ってこれるしなやかさ。 でも、この力は一度で身につくものではありません。 本を読んだだけでも、知識があるだけでも足りない。 いざという瞬間に、その知識を使えるようになっていなければならない。 それはまるで、スポーツや音楽のようなものです。 理論を理解し、何度も練習し、少しずつ型を身につけていく。 サイバーの世界でも同じです。 判断の型。行動の型。回復の型。 それを練習によって身につけていく。 そしたらいざという時に、身についた型が自律的に引き出される。 でも、ここに矛盾があります。 サイバーの世界では、一度の失敗が大きな結果を生む。 でも人は、失敗しながらでないと学べない。 だからこそ必要なのは、安全に学び、安全に練習できる場所です。 例えば、詐欺。ある日、突然メッセージが届きます。 「今すぐ対応してください。」 「あなたのアカウントが停止されます。」 「今だけの特別な投資です。」 そのとき、人は焦り、恐れ、期待の中ですぐに行動してしまう。 本来なら、確認する。 相談する。 少し時間を置く。 そういう判断の型が必要です。 でも多くの人は、その型の練習をしていません。 だから引っかかる。それは、弱いからではありません。 型を知らない上に、安全な場所で練習していないからです。 サイバーセキュリティとは、しなやかな判断力と回復力を養い、この矛盾だらけのサイバーの世界を人が自分の足で歩いていく力を身につけていくこと。 個人で。組織で。そして社会で。 誤解してほしくないのは、技術やプロセスが不要だと言っているのではありません。 むしろ、それらは不可欠です。 でも、どれほど高度な技術や精緻な統制があっても、そこには常に人間がいなければならない。 それが、私の一貫した信念です。 私はこれまで、何万人もの人に出会い、100 以上の違う文化の人々と働き、 アジア、 ヨーロッパ、 北米、 オセアニア、 アフリカ、 日本。 世界のさまざまな場所で生きてきました。 そして確信したことがあります。 人間は、一人として同じ人はいない。 そして、人が一人ひとり違うように、サイバーのしなやかさも、一人ひとり違う。 確かに、型はあります。でもそれをどう自分の技にするのか。 どうサイバーの世界を生き抜く力にするのか。 それは、一人ひとり違う。 サイバーセキュリティとは、技術だけの話ではありません。 それは、人がサイバーの世界で生きていく力を育てること。 だから私は信じています。 サイバーの未来を守るのは、2 段階認証でも AI でもありません。 人間です。 そしてその人間が、迷い、揺れ、間違えても、しなやかに判断して、また立ち上がれるサイバーの世界をつくること。 それが、人間を中心にしたサイバーセキュリティです。 だから最後に、皆さんに聞きたいのです。 この矛盾だらけのサイバーの世界で、あなたはどんなしなやかさを身につけていきますか? ありがとうございました。
Human-Centric Cybersecurity "Cyber"—take a moment to imagine it. When you hear that word, what comes to your mind? What is really in there? Is it data? Is it technology, like computers, smartphones, or AI? For a long time, I have stood on the front lines of cybersecurity all over the world. Peacekeeping missions. Field offices. United Nations Headquarters. Global financial institutions. And even a coffee shop. Truly, in so many different places. But I have always worked within the same cyber world. There is so much in this cyber world. Everything is connected. Emails, videos, smartphones... the list is endless. What are we actually doing in this cyber world? Sending a message to a friend. A human uses the technology of an app to send data—a message—to another human. Searching for a location on a map. A human receives data—a location—through the technology of a map app. Working remotely. A human processes data—work—using various technologies—apps. No matter where you look, the structure is the same: Humans are processing data using technology. Technology is always the star of the cyber world. It basks in the spotlight and keeps evolving. Take AI, for example. It gets all the attention, investment, and rapid development. And data, too, is constantly increasing. Vast amounts of data are born in the online world every single day. People are desperate to use that data more effectively. To protect these two things, cybersecurity has evolved its technologies and refined its systems. But what about the people? Looking back, alongside the data and technology, humans have been there—quietly, but surely. Even though this is a world built by humans, where humans live and go about their daily lives... When we talk about the "cyber world," only data and technology are discussed. Humans have been left behind. Even cybersecurity, which is supposed to protect this world, prioritizes data and technology above all else. We have improved our techniques and regulations to protect those two things. In fact, when most people think of cybersecurity, they think of: Two-factor authentication. Encryption. Advanced tech. Rules. Regulations. Laws. The humans who actually live in that world are rarely in the spotlight. Where have the people gone? The cyber world consists of data, technology, and humans. It is not just data and technology that we are truly trying to protect. Yet, the focus of cybersecurity evolution has been exclusively on protecting the data and the tech. Humans should be the ones most protected. And yet, humans are the ones least protected. I felt this most deeply when I was working at the United Nations. The UN is a unique place. It is an organization that aims for peace, but its work is carried out in the midst of conflict. And the same is true in the cyber world. When I was young, I was put in charge of my first major cyber incident. It was a state-sponsored attack. In that moment, I thought: "This is a battlefield." The security team consisted of only a few people. I was a brand-new manager. But the opponent? Tens of thousands, hundreds of thousands of attackers. They attacked from every direction, 24/7. No matter how hard we worked, there was no end in sight. I could barely go home. It felt like standing with my bare hands in front of invisible tanks and fighter jets. My body and my spirit were being whittled away, little by little. I was falling apart. On top of that, my colleagues, my bosses, and stakeholders looked at me with cold eyes, applying silent pressure. I was truly fighting in total isolation. I couldn't even celebrate my daughter's birthday. One night, around 2:00 AM, I was working on incident response with a colleague. That was when it happened. Suddenly, every character on my computer screen turned into a foreign script. In an instant, the screen shifted into characters I couldn't read. I was scared. I was truly, terrified. "This is it," I thought. "I'm finished." I was at a complete loss in front of the computer. I wanted to raise the white flag, but I couldn't. In the dim light of the midnight office, I just stared as the cold data flowed by. And then, something warm began to flow from my nose. Bright red blood fell silently onto the stark white page of my notebook. It looked as if warm blood was spreading through a world that was frozen to its core. Both friend and foe saw me as nothing more than an inorganic component of the cyber world, but here I was—a living, breathing human. The moment I realized that, my values changed fundamentally. I realized that what is truly important in the cyber world is human warmth. Until then, I had thought that technology was everything. And to be honest, a world of technology without the troublesome element of "humanity" was an easier world. The cyber world may look like a world of inorganic data and technology from the outside. But inside that inorganic world, there are humans. People who get hurt, people who feel the pressure, people who are lost and wavering. And there are people who attack. I realized that humans are what we must protect above all else. Humans suffer, they get lost, they waver, and they make mistakes. That is what it means to be human. But in the cyber world, that is not allowed. If it were a game, you could start over as many times as you want. But in the cyber world, mistakes and failures sometimes remain forever. Sometimes, a failure can have massive consequences. But it is only by experiencing mistakes that a person can mature. And yet, we aren't taught how to live in this world. We are thrown into the cyber world without being given enough experience or opportunities to practice. That is the greatest contradiction. Humans try, they fail, and they get back up. We gain experience by repeating successes and failures, and through that, we gain wisdom. But in the cyber world, the cost of failure is too high. We aren't taught how to make decisions. We aren't taught how to face our confusion, or how to recover from our mistakes. That is why I believe this: What we need is not "strength." It is "cyber resilience." It is the ability to make flexible judgments. And the power to recover. In the cyber world, human judgment is easily distorted by pressure, strong emotions, and desire. Impatience. Fear. Responsibility. Time pressure. In those moments, people lose sight of the priority of the decisions they should be making. For example, when you find something you really want online: Normally, the order should be: Verify. Buy. Transfer money. But in reality, the order reverses: Buy. Transfer money. Verify. And sometimes, the act of "verifying" is skipped entirely. It's not because people are weak. It is just because they have never had the opportunity to develop the skill of flexible judgment. That is why we need flexible judgment: the power to notice when our judgment is distorted and to restore the correct order. And one more thing. The resilience to not break when something happens. The flexibility to bounce back. But this power is not something you gain all at once. Reading a book or having knowledge alone is not enough. You must be able to use that knowledge in the heat of the moment. It is just like sports or music. You understand the theory, you practice over and over, and little by little, you internalize the form. It is the same in the cyber world. The form of judgment. The form of action. The form of recovery. We internalize these through practice. Then, when the moment comes, those internalized forms are triggered autonomously. But here is the contradiction: In the cyber world, a single mistake can have huge consequences. But people can only learn by making mistakes. That is why we need a place where we can learn and practice safely. For example, fraud. One day, a message suddenly arrives: "Please act immediately." "Your account will be suspended." "This is an exclusive investment opportunity." In that moment, people act immediately, driven by impatience, fear, and expectation. Normally, you should: Verify. Consult someone. Take some time. We need a "form" for that kind of judgment. But most people have never practiced that form. That is why they fall for it. It isn't because they are weak. It is because they don't know the form, and they haven't practiced in a safe environment. Cybersecurity is about cultivating flexible judgment and resilience, and gaining the power to walk through this contradiction-filled cyber world on our own two feet. As individuals. As organizations. And as a society. I don't want to be misunderstood; I am not saying that technology and processes are unnecessary. On the contrary, they are essential. But no matter how advanced the technology or how precise the controls, humans must always be at the center. That is my consistent belief. I have met tens of thousands of people, worked with people from over 100 different cultures—Asia, Europe, North America, Oceania, Africa, Japan. I have lived in many different places around the world. And I have become convinced of one thing: No two humans are the same. And just as every person is different, everyone's "cyber resilience" is different. Certainly, there are "forms." But how you turn those into your own skills—how you turn them into the power to survive the cyber world—that is different for every single person. Cybersecurity is not just a technical issue. It is about fostering the power for people to live in the cyber world. That is why I believe: The future of cyber will not be protected by two-factor authentication or AI. It will be protected by humans. And creating a cyber world where those humans—even when they are lost, wavering, or making mistakes—can make flexible judgments and get back on their feet... That is Human-Centric Cybersecurity. So, finally, I want to ask you: In this contradiction-filled cyber world, what kind of resilience will you cultivate? Thank you very much.