悪質なハッカーが狙っているのはPCやシステムの脆弱(ぜいじゃく)性に限らず、人間の心の隙や人為的ミスに付け込んだソーシャル・エンジニアリングなどもセキュリティの重大な脅威となっており、ある調査ではデータ侵害の原因の68%はヒューマンエラーだったことが判明しています。人間の存在がサイバーセキュリティ最大の弱点となっている問題に対処する方法について、認証技術の専門家が解説しました。

Human error is the weakest link in the cyber security chain. Here are 3 ways to fix it

https://theconversation.com/human-error-is-the-weakest-link-in-the-cyber-security-chain-here-are-3-ways-to-fix-it-241459

◆ヒューマンエラーの本質を知る

オーストラリア・メルボルン大学コンピューティングおよび情報システム学部の上級研究員であるJongkil Jay Jeong氏によると、サイバーセキュリティの分野では、ヒューマンエラーは大きく2つに分けられるとのこと。

1つ目は「スキルベースのエラー」で、これは日常的な作業中、特に注意力が散漫になっているときに好発します。



例えば、ある人が職場のPCのバックアップを忘れたとします。その人は、バックアップの方法もバックアップの必要性も知っていましたが、早く帰宅しなければならない用事や、山積みになっている返信待ちメールなどでバックアップにまで気が回りませんでした。

もし、このタイミングでサイバー攻撃が発生すると、データを復旧する手段がありません。そのため、ランサムウェアなどでデータが人質に取られてしまうと、ハッカーにゆすられてしまうことになります。これがスキルベースのエラーです。

2つ目は「知識ベースのエラー」で、これは経験が浅くて重要な知識が不足している場合や、特定のルールに従わなかった場合に発生するサイバーセキュリティ上のミスです。

例えば、見知らぬ連絡先から届いたメールを不用心にクリックしてしまうと、そこからマルウェアがシステムに侵入してハッキングされ、金銭を奪われたりデータをかすめ取られたりするリスクとなります。これが、知識ベースのエラーです。



◆なぜ従来のアプローチでは不十分なのか?

こうしたヒューマンエラーを防ぐため、政府やさまざまな団体がセキュリティ教育に多額の投資を行ってきましたが、必ずしも効果的とは言えませんでした。その理由のひとつは、「テクノロジー中心の画一的なアプローチをとっていたため」だと、Jeong氏は指摘しています。

従来の教育プログラムの多くは、パスワード管理の改善や多要素認証などの技術的側面に依存していることがよくありました。そのため、人間の心理や行動原理に根ざした問題の改善は軽視されがちだったとのこと。

テクノロジーに頼らず、行動を変えることで大きな成果を挙げた事例として、Jeong氏はオーストラリアとニュージーランドで展開された日焼け防止キャンペーンの「Slip, Slop, Slap運動」を挙げています。長袖のシャツやラッシュガードを着る(Slip)、日焼け止めを塗る(Slop)、帽子をかぶる(Slap)の3つを呼びかけたこのシンプルなキャンペーンが始まってからの40年で、両国における悪性黒色腫(メラノーマ)の発生は大幅に減少しました。

Jeong氏は「『人間の行動を変えるには、意識を高めるための継続的な投資が必要』だという原則は、サイバーセキュリティ教育にも当てはまります。人々がベストプラクティスを知っているからといって、それが実行されるとは限りません。特に、優先事項や時間的なプレッシャーに負われている場合はなおさらです」と述べました。



また、オーストラリア政府は2024年10月に、企業と政府機関の情報共有を強化したり、スマートデバイスのセキュリティ基準を定めたりすることを盛り込んだ包括的なサイバーセキュリティ法案を発表していますが、これも技術的側面と手順的側面に焦点が当てられています。

一方、アメリカは人間中心のアプローチに目を向けており、2023年12月に国家科学技術会議(NSTC)が打ち出した(PDFファイル)連邦サイバーセキュリティ研究開発戦略計画には「情報技術システムの設計、運用、セキュリティを決定する上では、人々のニーズ、動機、行動、能力を最優先とした人間中心のアプローチをより重視する必要があります」と記されています。

◆人間中心のサイバーセキュリティの3つのルール

人間中心のアプローチを採用して、サイバーセキュリティにおけるヒューマンエラーの問題に対処するにはどうすればいいのかについて、Jeong氏は最新の知見に基づいた以下の3つの戦略を提唱しました。

1.認知負荷を最小限に抑えること

サイバーセキュリティは、できるだけ直感的かつ簡単に実践できるよう設計する必要があります。またトレーニングプログラムは、複雑な概念を簡素化してセキュリティの実践を日常のワークフローにシームレスに組み込めるようにすることに重点を置くべきとのことです。

2.サイバーセキュリティに対する前向きな姿勢を育てること

セキュリティ教育では、恐怖戦術ではなく、優れたサイバーセキュリティの慣行を実践することの肯定的な成果を強調する必要があります。そうすることで、サイバーセキュリティに関する行動を見直すモチベーションが生まれます。

3.長期的な視点を取り入れること

行動や態度を変えるのに必要なのは、単発のイベントではなく継続的なプロセスです。というのも、サイバーセキュリティ教育は継続的に行う必要があり、進化する脅威に対抗するためには定期的なアップデートが欠かせないからです。

Jeong氏は「要するに、真にセキュアなデジタル環境の構築には、総合的なアプローチが必要だということです。ロバストな、つまり強固なテクノロジーや健全なポリシーも大切ですが、最も重要なのは十分な教育を受けたセキュリティ意識の高い人材の確保です。ヒューマンエラーが起きる背景を深く理解できれば、人間の性質に合わせて機能する、より効果的なトレーニングプログラムやセキュリティ計画を設計できるでしょう」と述べました。