 |
|
『第292回例会』報告 例会KP 木村 勝 : 5月号
【データ】
◆ はじめに 近年、電子機器の脆弱性を狙ったものから、利用者自体を狙ったものまで、サイバー攻撃の手口が巧妙化し、被害が増加しています。 特に、利用者を狙った攻撃は、サービスや、ソフトウェアなどのテクノロジーでの対策だけでは十分とは言えず、被害を防げないことも多くあります。 このことから、テクノロジーでは防げない部分の対策も、重要性が増していると考えます。 そこで、今回の例会では、情報セキュリティ大学院大学の名誉教授で、情報セキュリティ心理学研究会でも活躍され、日本での情報セキュリティ心理学の普及をリードしてきた内田勝也氏を講師にお招きし、「情報セキュリティ心理学ってなに?」について、体験談や実践事例などを交えながらご説明いただきました。 以下、要点を抜粋して紹介します。 ◆ 講演内容 ● 本日の講演への想い 海外ではHuman element、Security in Human等と呼ばれており、この分野ではヒューマンエラー、ソーシャルエンジニアリング(Elicitation techniques)、教育・訓練、セキュリティ文化の確立をはじめ、CISO(最高情報セキュリティ責任者)のメンタル問題まで議論されています。 最近の大手研究機関の国内調査でも、発生したセキュリティ事件/事故について、「標的型メール攻撃(31.2%)」、「マルウェア感染(6.2%)」、「ランサムウェア(6.1%)」と、利用者攻撃中心であり、更に1万人以上の企業では、1万人未満の企業にはない「退職者等の不正アクセス/持出(16.3%)」が報告されています。 今回は、これらを踏まえ、非技術的なセキュリティであるセキュリティ心理学について、報告いたします。 1. 参考までに メモを取らないで聞くことは、①「セキュリティは、日々、変化している」、②「メモは、記憶の定着には役立たない」、③「記憶に残った言葉/文章があれば、思い出せる」の観点から重要だと考えられる。 勿論、強制するものではありません。 2. はじめに (Before Security Psychology) 大昔に、情報セキュリティは電源対策等から始まったが、コンピュータ内のデータの安全性を考えれば良いとの記事に疑問を感じていた。 ISACA(情報システムコントロール協会)東京支部の発起や、「システム監査技術研究会」に参加した。その際に、監査の重要性【セキュリティ技術ではない面の知識】を学んだ。 80年代後半、コンピュータウィルスは、米国のビジネスでも都市伝説的で、雑誌Lotus Magazineのコンピュータウィルス特集でも半信半疑だった。日本国内にあまり情報がなく、この特集記事を翻訳し、PC通信(日経MIX)で活発な議論をした。 90年、早稲田大学で「13日の金曜日ウィルス」感染があり、TVインタビューを受けた。学会で、コンピュータウィルス(AIDSウィルス:トロイの木馬型ウィルス=ランサムウェア)のデモ、報告を行った。 91年頃、情報セキュリティで最初に性弱説を述べた。環境犯罪の一部と気づき、同分野として説明するようになったが、亜種も色々でてきた。 93年11月に、CSI(Computer Security Institute)に参加したが、内容は「暗号、コンピュータ/ネットワークセキュリティ、マネジメント、法制度・倫理:などで、セッションは、70分だった。日本では、セキュリティ技術中心で、30分から40分程度で、大きな相違を感じた。 3. セキュリティ心理学 事始め 02年、米国の国防総省へのサイバー攻撃の98%は、パッチの未適用か、設定ミスであったと、内部調査で指摘があり、海外ウェブで公開された。 03年、人間は「最弱部分」の1つで、適切で十分なセキュリティレベルの保持には、技術ではなく「人の要素」が重要となると、NIST SP800-50で触れられた。 この頃から、本格的にセキュリティ心理学へのアプローチが始まった。 ただ、日本国内では技術中心で、海外のように技術もあるが、マネジメントや経営戦略の議論に至らない分野もあった。 03年、中央大学研究開発機構では、文部科学省科学技術振興調整費・新興分野人材養成選定され、『情報セキュリティ・情報保証人材育成拠点』(リーダー:辻井重男教授)として、5年間(予算1億円/年)行った。 04年、情報セキュリティ大学院大学(辻井重男学長)が開校。中大研究開発機構のカリキュラムを発展させ、セキュリティ分野で総合的なカリキュラムを構築した。 4. セキュリティ心理学入門 サイバーセキュリティ戦略として、国内にシステム産業、サイバーセキュリティ産業が存在しない!(?) 日本にある海外企業は、マーケティング中心で、開発はほぼない?一方で、韓国はサイバーセキュリティ製品の全てが国内調達可能。 サイバーセキュリティの現状として、サーバーの場所が「オンプレ」から「クラウド」に変化し、対応要員も変化しており,利用者(End Point)のセキュリティはより重要になった。 攻撃先も変化し、人的要素(ヒューマンエラー、特権の悪用、ソーシャルエンジニアリング攻撃)が82%を占める。また、管理職と役員は全体の10%だが、深刻な攻撃リスクの50%近くを占める。 情報とは、「knowledge or facts about someone or something. 人・物(誰か、何か)についての知識/事実であり、文字・数字などの記号やシンボルの媒体で伝えられ、受け手に状況に対する知識をもたらしたり、適切な判断を助けたりするもの」。 見えない情報は守れないので、情報を保存しているものを守る。情報と情報を保存しているものを情報資産と考え,「人、情報、テクノロジー、設備」ひとつ欠けてもセキュリティを確保できない。 人間は自分が思うほど合理的ではなく、単純な意思決定でもしばしば過ちを犯すことがある。 ウィーケストリンクでセキュリティレベルを判断し、セキュリティ対策の平均値ではなく、最弱所がそのシステムのセキュリティレベルになる。 5. セキュリティ心理学の今後 クラウドサービスの進展で、一部ベンダーや利用企業でのサイバーセキュリティ要員は、技術者から、利用者中心(業務遂行、コンプライアンス、監査、教育・訓練など)、ノンテクニカルスキルが中心になると考える。 個人がテクニカルスキルに優れていても、それを実際に提供するには、他のスタッフの協力を得ながら、問題を組織で解決しなければならない。そしてそのために、「コミュニケーションスキル」、「論理的思考力」、「判断力」、「マネジメント力」といったノンテクニカルスキルが必要。 6. 最後に(情報セキュリティ心理学のまとめ) 『楽しいセキュリティ』を考える必要がある。スポーツ界でも、理に合わない練習をやり、怪我や障害などにより、人として弱くなる。心理的な余裕を持つことが大切。 情報セキュリティは難しいと思わせている節があるので、自分の身近に置き換えてみると良い。 人間は見えない情報を持っているので、自分自身を守ることは、情報セキュリティの一分野と考えられる。 「赤信号、みんなで渡れば怖くない」ではないが、横断歩道でない所を渡って、死亡した芸能人もいた。自分自身(情報)を防御できなかった【ノン セキュリティ】ともいえる。 ◆ 講演を聞き終えて 今回の講演では、講師の内田勝也氏の体験談、実践事例をもとにした貴重なヒントをいただけました。 技術に頼りがちなセキュリティ対策について、非技術的な対策(ノンテクニカルスキル)の重要性を再認識する切掛けとなりました。 情報セキュリティ心理学は日々の業務のみならず、日々の生活の参考にもなり、有意義なものだと感じました。私自身や、私と関わりのある方々が被害に合わないように活用していきたいと思います。 例会を通じて、貴重なお話しをしていただけたことに、心より感謝を申し上げます。 当日参加された皆さま、何かヒントになることはありましたか。 例会では、今後もプログラムマネジャーや、プロジェクトマネージャーにとって有益な情報を提供してまいります。 引き続きご期待ください。 ご講演の資料は、講師から参加者のみへの提供とするとのご要望がありましたので、協会ホームページの「ジャーナルPMAJライブラリ」月例会開催資料には登録されていません。ご了解ください。 尚、我々と共に部会運営メンバーとなるKP(キーパーソン)を募集していますので、日本プロジェクトマネジメント協会までご連絡下さい。 |
 |