情報セキュリティ心理学という考え方

「セキュリティ心理学」って何？

　「標的型攻撃」などに代表される昨今のサイバー攻撃に、技術だけで対応するのは困難です。情報システム利用者への教育・訓練とともに、組織への「CIO（最高情報責任者）」や「CISO（最高情報セキュリティ責任者）」の設置といった適切なセキュリティ体制の構築がますます求められるようになっています。

　しかしながら、現実にはセキュリティ教育・訓練が効果のないものになっていたり、「役職者に役割を割り当てて終わり」といったように体制が形骸化していたりする組織が散見されます。また、セキュリティ対策の中で「PDCA（計画・実行・評価・改善）」が適切に機能していない組織もあります。こうした組織では、インシデントが発生した際に個人や組織が適切に機能しない、あるいは内部・外部の監査がセキュリティリスクを見いだして適切な指摘を行えていないことが要因となり、大きな事件・事故に発展しまうことがしばしばあります。

　さらに、近年では企業内の人間だけでなく、パートナーなどの社外関係者も、ネットワークを通じて社内システムを利用するケースが増えてきました。こうした関係者の中には、故意にシステム侵入や情報盗取、情報破壊などを行おうとするハッカーや内部犯行者がいるかもしれません。あるいは、誰かが過失でデータや機器を破壊してしまう場合もあるかもしれません。

情報システム環境の変化

　以上は全て、技術ではなく「人間」に起因するセキュリティの問題です。情報セキュリティにおいてはしばしば「最大の弱点は人間である」ということがいわれますが、このような考え方は何も新しいものではありません。かつて世間を騒がせた“伝説的ソーシャル・エンジニア”ケビン・ミトニックも1994年の著書『シークレット・オブ・スーパーハッカー』の中で、「セキュリティは技術の問題ではない。人間とマネジメントの問題である」と述べています。しかしながら、人間の弱点を突く「ソーシャルエンジニアリング」については、その攻撃方法や対策について解説する書籍などはあるものの、その多くがセキュリティ専門家を対象にしているというのが実態です。多くの関係者が利用する今日の情報システムにおいて必要なのは、専門家だけでなく、利用者の教育までを含めた対策です。

　そこで本連載では、心理学や行動科学、犯罪学などの知見を借りながら、人間に起因するセキュリティ上の問題について、可能な限り事例と共に考え、分かりやすく解説していきます。例えば、「ヒューマンエラーは個人レベルではなく組織レベルで考えるべき問題である」といった内容を扱う予定です。人的な攻撃手法や、故意・過失による広義の「情報への攻撃」を知り、個人および組織としてどのような対策が必要なのかを考えます。このように、セキュリティ分野での人間的な課題を、他の学問分野からの知見を利用しながら総合科学として考える取り組みを、筆者は「セキュリティ心理学」と命名しています（ただし、そういう確立された学問が現在あるわけではありません）。

　ソーシャルエンジニアリングに関する最初の書籍（翻訳）が出版されてから、既に20余年になりますが、近年になりこの分野の重要性がますます高まってきたと筆者は感じています。本連載が、人的セキュリティやセキュリティマネジメントを考える上で、何かのヒントになれば幸いです。