【ブックレビュー】セキュリティの心理学

【ブックレビュー】セキュリティの心理学

2023, Jun 25    

認知心理学や犯罪心理学を活用した情報セキュリティの防御策を検討している組織が日本には存在します。

https://www.iwsec.org/spt/

や 

https://www.infosecpsychology.com/

です。 情報セキュリティにおいて心理学の効果はバカにならないはずです、すべてのセキュリティ専門家が口を酸っぱくして言っているように、セキュリティの最前線は結局人間であり、攻撃者は人間の心理をついてくるからです。アダルトサイトの請求や重要会議の議事録を騙る詐欺メールはその典型的な手口と言えるでしょう。事実セキュリティインシデントの最多要因は詐欺メールなのです。完璧な人間がいないように、完璧なセキュリティもありません。

1章ではセキュリティインシデントを引き起こすヒューマンエラーも偶発的なものではなく、「ある条件下では必然的に起きる」という研究成果を紹介し、それを導き出す理論やモデルが記載されています。内容を理解するのは非常に難しい・・・「お、おう、そうなのかー」という感想が占めますw が、ヒューマンエラーを起こす土壌には安全への軽視、なぜ安全が軽視されるか=正常状態の品質へのリソース傾倒という話は非常に重要で、セキュリティ担当者が経営層をちゃんと説得しなければいけない分野です。

2章では近年の情報セキュリティの対策が難しい理由が示されます。

  • セキュリティのCIAが情報資産によりまちまちである
  • 1年前にはチャットAIは一般普及していなかったように、進化のスピードが早い
  • OSSの普及によりアタックサーフェイスが増大
  • 上記の結果として人間(ヒューマン)がついていけず、エラーを起こす

よく我々は現代社会を生きていけますよね…。心理的側面からリスクをコントロールする術が紹介されています。操作者をターゲットとした攻撃モデルには「直接型」「間接型」「それを組み合わせた集団型」があり、いずれの対策も必要にあります。登録セキスペのオンライン講習にも出てくる不正のトライアングル(「機会」「動機」「正当化」)を防止することが重要ですが、人間を完全にコントロール化に置くのはコンピュータよりも困難です。長文による分析と、様々なモデルが提示されていますが、ここまで考えるのは・・・セキュリティのソリューションを販売する会社が考慮して、僕たちはその恩恵に預かるではだめなのだろうか。

第3章ではいよいよヒューマンエラーを重点を置き、その対策を提示します。シンプルに、同じ用途のものは近くに置き、混ぜるな危険のものを近くに置かないようにしたり、判断情報を視覚的に付与したりするのは基本的ですが有効です。逆に認知の歪みや理論、推論を提示されると解決策が分からんぞ。論文のような内容なので文章が読みにくいし、読むにも気力を消費します。エラーを起こしにくい人へのインタフェース提示のやり方がある、と書いてあるようです・・・(ふんわり)

第4章は犯罪心理学から見た情報セキュリティ。犯罪心理学も様々なサブジャンルがある分野で、行動研究から手口を、心理学から犯人像の参考になるかもしれません。矯正・更生保護心理学からホワイトハッカーに抜擢する、なんてこともできるかもしれません。内部犯行に対しては繰り返しになりますが不正のトライアングルの原因を潰すことが有効です。調査によると、統計的には若い男性がもっともセキュリティリスクが高い行動を取っているということ。従業員の平均年齢が若いベンチャー企業は相対的にリスク高いですね。ネット社会は安全だと思っている傾向があり(SNSの使い方を見ると、肌感としては同意できる話です)、セキュリティ的に危うい行動を躊躇せず行う傾向があるとか。

5章・6章はセキュリティの課題と心理学の役割を紹介します。伝説のハッカー、ケビン・ミトニックも実際にはスーパーテクニックを用いていたのではなく、ソーシャルエンジニアリングを多用していたそうです。利用者の教育をどう施せばよいのか。僕も職場ではこまめなブラウザ・OSのアップデートをアナウンスし、世間を騒がせているセキュリティ事故の手口と対策を共有しています。小さなことからコツコツと。 攻撃者が狙う被害者の性格も列挙されていますが、「礼儀正しい」「専門家と思われたい」「おだてられると調子に乗る」「他人を疑わない」「正直者」と自分のことを指しているかのような記述にドキリと。善人であるがゆえに漬け込まれてしまう・・・世の中いやですねぇ。悲しい。ソーシャルエンジニアリングの手口とその対策をもう一度全体周知したいと思いました。

この本の中での一番の収穫は、最後に引用されているセキュリティ実現の原点から見た内部要因事故抑制手法内で紹介されている『セキュリティ実現の原点から見た内部要因事故抑制手法』(資料の6ページ)と『セキュリティ実現の原点から見た内部要因事故抑制手法』(以下資料の16ページ)だと思います。企業の中で具体的に使いやすい資料です。

すべての機器がネットワークにつながる現代、電気ガス水道そしてもちろんインターネットなど、一般市民が関わるインフラ制御システムすらサイバー攻撃の対象になるようになり、セキュリティの重要性はましています。セキュリティインシデントを引き起こすヒューマンエラーを防ぐためには色々な方法があることが分かりました。

Twitter Facebook Google+
# Security