サイバーセキュリティの盲点は「人の脆弱性」だ “心理学”を考慮したリスクマネジメントの新常識 サイバー攻撃なくとも情報漏洩が起きる理由
国内ではシステムやセキュリティは、技術者だけが関与するものであり、専門的なIT技術が重要視されてきた。しかし、セキュリティ管理にあたっては、ヒューマンエラーや人間の脆弱性(後で言及する性“弱”説)などに起因するインシデントを想定しなければならない。
2000年代初めにアメリカのセキュリティセミナーで、カーネギーメロン大学・ソフトウェア工学研究所(SEI)の報告があったが、3名のうち、2名はソフトウェア技術者、1名は心理学研究者で、「内部犯行の防止、検知、対応方法等」の発表だった。日本では聞かない話で、国内でもこんな話題の話をやりたいと考えたが、「セキュリティ心理学」でなく「情報セキュリティと心理学」のワークショップとなった。
ただ、2020年には、世界最大のセキュリティ会議:RSA Conference※1では、メインテーマを「Human Element(人間的要素)」とし、セキュリティにおける人間の課題や人的要因を大きく取り上げるようになった。
※1 RSA Conference:当初は、暗号技術を中心としていたが、現在はセキュリティ関連の会議になっており、今年からRSAC Conferenceに改称された
「ソーシャルエンジニアリング」情報を引き出すテクニック
さて、私はセキュリティ心理学において、人的課題の実践や調査・研究、教育・訓練に関して調査・研究を行っている。実際には以下の項目が挙げられる。
(1) ソーシャルエンジニアリング/欺術
(2) インテリジェンス(情報収集)
(3) 行動経済学/セキュリティ心理
(4) 環境犯罪学/人間の脆弱性
(5) ヒューマンエラー
(6) メンタルヘルス
(7) セキュリティ心理学とAI
(8) セキュリティ文化の醸成
(9) 物理的セキュリティ
(10) セキュリティと地政学
(11) 教育・訓練
(2) インテリジェンス(情報収集)
(3) 行動経済学/セキュリティ心理
(4) 環境犯罪学/人間の脆弱性
(5) ヒューマンエラー
(6) メンタルヘルス
(7) セキュリティ心理学とAI
(8) セキュリティ文化の醸成
(9) 物理的セキュリティ
(10) セキュリティと地政学
(11) 教育・訓練
例えば「ソーシャルエンジニアリング」とはざっくり言うとこうだ。
関連記事
トピックボードAD
有料会員限定記事
ビジネスの人気記事
無料会員登録はこちら
ログインはこちら