セキュリティ

サイバーセキュリティ最大の脆弱性は「人間」、ヒューマンエラーを防ぐ3つの戦略とは?


悪質なハッカーが狙っているのはPCやシステムの脆弱(ぜいじゃく)性に限らず、人間の心の隙や人為的ミスに付け込んだソーシャル・エンジニアリングなどもセキュリティの重大な脅威となっており、ある調査ではデータ侵害の原因の68%はヒューマンエラーだったことが判明しています。人間の存在がサイバーセキュリティ最大の弱点となっている問題に対処する方法について、認証技術の専門家が解説しました。

Human error is the weakest link in the cyber security chain. Here are 3 ways to fix it
https://theconversation.com/human-error-is-the-weakest-link-in-the-cyber-security-chain-here-are-3-ways-to-fix-it-241459

◆ヒューマンエラーの本質を知る
オーストラリア・メルボルン大学コンピューティングおよび情報システム学部の上級研究員であるJongkil Jay Jeong氏によると、サイバーセキュリティの分野では、ヒューマンエラーは大きく2つに分けられるとのこと。

1つ目は「スキルベースのエラー」で、これは日常的な作業中、特に注意力が散漫になっているときに好発します。


例えば、ある人が職場のPCのバックアップを忘れたとします。その人は、バックアップの方法もバックアップの必要性も知っていましたが、早く帰宅しなければならない用事や、山積みになっている返信待ちメールなどでバックアップにまで気が回りませんでした。

もし、このタイミングでサイバー攻撃が発生すると、データを復旧する手段がありません。そのため、ランサムウェアなどでデータが人質に取られてしまうと、ハッカーにゆすられてしまうことになります。これがスキルベースのエラーです。


2つ目は「知識ベースのエラー」で、これは経験が浅くて重要な知識が不足している場合や、特定のルールに従わなかった場合に発生するサイバーセキュリティ上のミスです。

例えば、見知らぬ連絡先から届いたメールを不用心にクリックしてしまうと、そこからマルウェアがシステムに侵入してハッキングされ、金銭を奪われたりデータをかすめ取られたりするリスクとなります。これが、知識ベースのエラーです。


◆なぜ従来のアプローチでは不十分なのか?
こうしたヒューマンエラーを防ぐため、政府やさまざまな団体がセキュリティ教育に多額の投資を行ってきましたが、必ずしも効果的とは言えませんでした。その理由のひとつは、「テクノロジー中心の画一的なアプローチをとっていたため」だと、Jeong氏は指摘しています。

従来の教育プログラムの多くは、パスワード管理の改善や多要素認証などの技術的側面に依存していることがよくありました。そのため、人間の心理や行動原理に根ざした問題の改善は軽視されがちだったとのこと。

テクノロジーに頼らず、行動を変えることで大きな成果を挙げた事例として、Jeong氏はオーストラリアとニュージーランドで展開された日焼け防止キャンペーンの「Slip, Slop, Slap運動」を挙げています。長袖のシャツやラッシュガードを着る(Slip)、日焼け止めを塗る(Slop)、帽子をかぶる(Slap)の3つを呼びかけたこのシンプルなキャンペーンが始まってからの40年で、両国における悪性黒色腫(メラノーマ)の発生は大幅に減少しました。

Jeong氏は「『人間の行動を変えるには、意識を高めるための継続的な投資が必要』だという原則は、サイバーセキュリティ教育にも当てはまります。人々がベストプラクティスを知っているからといって、それが実行されるとは限りません。特に、優先事項や時間的なプレッシャーに負われている場合はなおさらです」と述べました。


また、オーストラリア政府は2024年10月に、企業と政府機関の情報共有を強化したり、スマートデバイスのセキュリティ基準を定めたりすることを盛り込んだ包括的なサイバーセキュリティ法案を発表していますが、これも技術的側面と手順的側面に焦点が当てられています。

一方、アメリカは人間中心のアプローチに目を向けており、2023年12月に国家科学技術会議(NSTC)が打ち出した(PDFファイル)連邦サイバーセキュリティ研究開発戦略計画には「情報技術システムの設計、運用、セキュリティを決定する上では、人々のニーズ、動機、行動、能力を最優先とした人間中心のアプローチをより重視する必要があります」と記されています。

◆人間中心のサイバーセキュリティの3つのルール
人間中心のアプローチを採用して、サイバーセキュリティにおけるヒューマンエラーの問題に対処するにはどうすればいいのかについて、Jeong氏は最新の知見に基づいた以下の3つの戦略を提唱しました。

この記事のタイトルとURLをコピーする

・関連記事
インターネットの高度なセキュリティがユーザーの安全対策を怠る原因になっている可能性 - GIGAZINE

企業のIT専門家の3分の1が「データ侵害を隠匿した」とインタビューで回答 - GIGAZINE

ありえない大失敗を犯してしまう3つの原因とは? - GIGAZINE

・関連コンテンツ

in セキュリティ,   無料メンバー, Posted by log1l_ks

You can read the machine translated English article here.