例会部会
先号  次号

「第235回例会」報告

PMAJ例会部会 原 宣男 [プロフィール] :8月号
【データ】
開催日: 2018年6月22日(金) 19:00~20:30
テーマ: 「セキュリティ心理学とチームワーク」
講 師: 内田 勝也 氏/情報セキュリティ大学院大学名誉教授
講師略歴及び講演概要:  こちら のリンク先の例会案内をご覧ください。

【はじめに】
 情報化社会がものすごいスピードで進化していく中で、今やセキュリティ対策は必要不可欠なものになっています。ただいくら技術的なセキュリティ対策を行っても、人が行う行為に完璧なものはなく、人に対する対策を打たなくては、思わぬところでインシデントが発生してしまいます。今回は、そんな人の行動を「セキュリティ心理学」の見地から明らかにし、セキュリティ事故とその対策について解説頂きました。以下にその概要を記載致します。

【講演概要】
情報セキュリティとは
 情報は目に見えない風のようなものである。目に見えない情報は守れない為、情報と情報が保存されているものを守る。情報セキュリティとは、その情報と情報が保存されているもの即ち情報資産を攻撃から守ることである。
情報セキュリティと人の関係
 国内セキュリティ調査によると、インシデントの多くは誤操作や紛失等の安全工学で考えるヒューマンエラーに起因するものである。一方で、情報セキュリティの範囲は、マルウェア感染が人に対する攻撃であるように、ヒューマンエラーの範囲を超えている。情報セキュリティは、悪意のある人が起こす攻撃も含めて、何が人に関係するかを考慮する必要がある。
 海外セキュリティ調査によると、2015年度の90%強、2016年度の71%強が、人に関係するインシデントである。人の問題を考えないと、もはや技術だけでは対応できない。
ヒューマンエラー対策
 ヒューマンエラーは人為的過誤や失敗(ミス)であるが、ヒューマンエラーを起こす要因として、集中力を奪う何かがあったのか、見逃し見間違いを誘う何かがあったのか、報告しづらい何かがあったのか等、最近では手続きや作業環境のまずさ、組織の対応のまずさがヒューマンエラーに繋がっているとの考えが強くなっており、直接の操作者・操縦者はもちろんのこと、管理職の意識も含め、チーム全体をヒューマンエラー防止の対象と考えるようになってきた。
悪意のある第三者の行為によるインシデント
 情報セキュリティは安全工学と異なり、悪意のある第三者の行為を考える必要がある。
 例えば、当事者が何かを行う場合や何もしない場合でも以下のインシデントが発生した。
当事者が行った行為を自覚しているケース(作為的ヒューマンエラー)
英国リバプールストリート駅でパスワードを教えてくれたらチョコバーをあげるという調査を行ったところ71%が教えた。
当事者が行った行為を自覚していないケース(作為的ヒューマンエラー)
セキュリティ国際会議でハッカーが誘導質問術により電話会社のオペレータからIDとパスワードを聞き出したが、オペレータ本人はその自覚が無かった。
当事者が行わなかったことを自覚しているケース(不作為的ヒューマンエラー)
自分が使っているシステムにパッチを適用せずウイルスに感染した。
当事者に行わなかったことの自覚がないケース(不作為的ヒューマンエラー)
ウェブサイトの更新時に誤って公開領域に個人情報を残留し、第三者がそれをダウンロードした。
悪意のある第三者が行う攻撃手段
 悪意のある第三者が行う攻撃手段は以下のようなものがある。
なりすまし(標的型メール攻撃)
a ) URL埋込型:某機構でメール本文のリンクをクリックしたところ不正プログラムが起動した。インシデントへの対応が遅く大量の情報漏洩が発生した。
b ) ファイル添付型:某旅行会社で取引先の航空会社を装ったメールの添付ファイルを開きウイルスに感染。当事者はそれに気づかず送付元に「該当なし」と返信、配信不能(送付先アドレスが存在しない)のエラーメールが返信されたが、当事者はそれに気づかず報告もしなかった。後日不審通信が見つかり情報漏洩が発覚した。2年前から標的型メールの訓練を行っていたが、役立たなかった。「該当なし」の返信等、おかしな状況があれば、その時点で報告するような教育・訓練をする必要があった。
なりすまし(標的型電話攻撃)
標的型電話攻撃:ストーカーが被害者の夫になりすまし、自治体職員から住所を聞き出し、被害者を殺害してしまった。
ゴミ箱漁り:シュレッダーから元の書類を復元する。
サイト侵入(なりすまし):身分証明書を偽造してオフィスに侵入する。
のぞき見:遠方からズーム機能のあるビデオムービーやデジタルカメラで写す。
その他:親切!一瞬のスキ?:親切心を逆手にとって窃盗。
一人がわざと物を落として被害者が拾っているうちに、もう一人が荷物を盗む。
防御対策
 悪意のある第三者からの攻撃に対する防御対策としては以下が考えられる。
攻撃者、攻撃手段、攻撃欺術を知る:過去の攻撃・被害事例から学ぶ
イラン核施設攻撃、ウイルスプログラムが発見された。(USB放置による感染)
環境犯罪学・状況的犯罪予防からの知見:人は犯罪機会の誘惑に弱い存在
環境犯罪学:自分の目の前に現金があれば、心が動く。→性弱説
ずさんな情報管理は犯罪を誘発する。→性善説ではダメ
標的型メール訓練:訓練でクリックをゼロにはできないが、やる意味はある。
クリックした/しないではなく、おかしいと思ったら当該部門に連絡するリテラシーを醸成する。
ソーシャルエンジニアリング教育:敵を知り己を知れば百戦危うからず(孫子)
教育・訓練の考え方
 教育・訓練では一般的な知見を提供する。
確実な記憶方法:駐車禁止マーク(正しい駐禁マークを「No Parking」で覚える)
経験による記憶:フレイザーの錯視(同心円が渦巻きに見える)
確認の重要性:ミュラー・リヤーの錯視(線分の長さが見かけと異なる)
注意力の限界:チーム作業の重要性(ひとりでは限界がある)
自分自身を信頼できますか?
 聴講者にビデオを見てもらい、その中で起こっていた事象について聞いてみると、はっきり写っているにも関わらず、ほとんどの人が気づかないことがある。人の目がいかに曖昧かがわかる。

【所感】
 講師は「セキュリティ心理学」という情報セキュリティの世界に心理学や行動科学の観点を取り入れた第一人者で、毎月、大学の教室を借りて「情報セキュリティ心理学研究会」を開催されています。この研究会はワンコインで聴講でき、記者も時々参加するのですが、人間の行動原理や心理学に基づく情報セキュリティ対策など興味深い内容がさかんに議論されています。
 今回の講演テーマは、講師がこの研究会の中で度々登場させている話題をPM向けにアレンジ頂いたものですが、情報セキュリティ対策には、いかに人に対する対策が重要であるかを初心者にも解りやすく解説頂き、またいくつかの動画を視聴することで、いかに人の感覚が頼りないかを体験できたのではないでしょうか。
 研究会や海外出張のお忙しい中、ご講演頂きました講師に感謝いたします。

※例会からのお知らせ
 我々と共に部会運営メンバーとなるKP(キーパーソン)を募集しています。参加ご希望の方は、日本プロジェクトマネジメント協会までご連絡下さい。

以上
ページトップに戻る