現在起こっている様々なサイバーセキュリティインシデントのうち、約1/3程度のインシデントは従業員等の対策ミスや対応誤り、いわゆるヒューマンエラーに起因しているといわれています。したがって、サイバーセキュリティを強化していくためには、技術的なセキュリティ対策の導入とともに、個人のセキュリティに対する意識や行動を変えるような施策の導入も一層重要となります。
本記事では、ヒューマンエラーに起因するインシデントを低減していくためのアプローチとして、「行動経済学」の観点から検討されている新たなセキュリティ対策のアプローチについて紹介します。
ヒューマンエラーによる情報漏えいにはどんなケースがある?
ケース①:置忘れ・紛失
顧客との打ち合わせに必要な書類(の入ったバッグ)やスマートデバイス(モバイルPCやスマートフォンなど)を電車等に置き忘れるケースが考えられます。
また、どこに忘れたのかすら覚えていなかったり、思い出せないことで、発見できずに紛失してしまう場合もあります。
ケース②:メールの誤送信・標的型メールの開封
メールの誤送信では、ToやCcに指定する宛先のメールアドレスを間違えたり、添付ファイルを間違えて送ってしまうケースが考えられます。メール送信前の宛先や添付ファイルの確認が不十分になっている状態です。
また、標的型メール内に添付されたファイルなどを開封し、ウイルスに感染して情報が漏えいしてしまうケースも考えられます。この場合、ウイルスに感染していることに気づかず、被害が拡大してしまう可能性もあります。
ケース③:未許可のクラウドサービスやSNSを利用
社内で利用許可されていない、またはセキュリティ対策が十分ではない、クラウドサービスやSNSへファイルをアップロードし、情報漏えいに繋がるケースが考えられます。
ヒューマンエラーを防ぐ!「行動経済学的」なアプローチとは?
※ 例えば、長期的には明らかに利益の大きい選択肢が提示された場合でも、選択を変えることの面倒さ等から現状維持を選ぶ「現状維持バイアス」などが認知バイアスとして知られています。
図1. 伝統的経済学と行動経済学の違い(NRIセキュア作成)
このように、現在、様々な研究者によって行動経済学の研究が進められていますが、本研究成果を一部の国や企業が政策形成プロセスやビジネスにも取り入れようとする動きも広まっています。
例えば、米国では年金制度や小児肥満、医療保険制度、エネルギー問題等に対して、従来の刑罰や経済的インセンティブだけではない形で、人々が最適な選択を行えるようにする「ナッジ(Nudge)」というアプローチがオバマ政権下の多数の政策において導入されました。ナッジとは直接的には「軽く、肘でつつく、押す」というニュアンスですが、個人の行動を強制させるのではなく、選択肢の自由は保持しながら、適切な選択肢を推奨するための様々な仕掛けを導入することを意味しますが、行動経済学に基づく有名な政策アプローチとして知られています。
図2. 米国政府でのナッジ活用事例
(出典:キャス・サンスティーン(2017)「シンプルな政府」をもとにNRIセキュア作成)
また、英国では2012年に内閣府に「行動洞察チーム(Behavioral Insight Team」というナッジ・ユニットが設置されました。本組織は、2013年からは政府系ジョイントベンチャーとして独立して活動していますが、行動経済学の知見を用いて、政策の合理化やイノベーションの促進等を目的に様々な活動を行っています。
同様に、日本においても環境省が2017年4月に日本版ナッジ・ユニットを発足し、家庭・業務・運輸部門等のCO2排出実態に係るデータを収集、解析し、個別の実態を踏まえた形で個々に情報をフィードバックして行動変容を促すモデルを構築するための実証実験を企業と連携して進めています。
このように、既に多くの国において行動経済学の知見が様々な分野や領域に活用しております。そして、この知見をサイバーセキュリティの領域にも取り入れようという検討も進められています。
サイバーセキュリティへの行動経済学的アプローチの応用
ヒューマンエラーに起因するセキュリティインシデントを減らそうとした場合、行動経済学の知見はどのように活用できるのでしょうか。
例えば、私たちが日常的に行っているメール送受信やファイル共有、外部サイトアクセス等といった行動に対して、業務に支障を及ぼさない形で社員が自らセキュリティ上安全な行動をとれるようにする仕掛けを考えるというのが、一つの方法です。メール誤送信や外部への不正なファイル共有などによる情報漏えいを防ぐ際には、メール誤送信ソフトやアクセス制限等による対策を実施することが一般的なアプローチですが、過度なセキュリティ対策を導入してしまうと、管理コストの増加や、業務効率が悪化する可能性もあります。
一般的なナッジ型アプローチは、対象者がある行動を選択する際に、最適な選択肢を自主的に選ばせるような仕掛けを導入することです。したがって、ナッジ型サイバーセキュリティの方法としては、例えば外部からの怪しいメールが届いた際や信頼されないウェブサイトにアクセスした際のアラートメッセージの表示の仕方を、従来型の注意メッセージから、画像等が含まれるアラートメッセージに変えることで、メール開封やサイトにアクセスしようとする行動を変える、といった方法が考えられます。
図3. ナッジ型サイバーセキュリティの導入効果(NRIセキュア作成)
また、人はネガティブ情報よりもポジティブ情報に反応するという認知心理学の実験結果を利用し、セキュリティソフトウェアのアップデートの実施を促す際には、「あなたはアップデートしていないので、すぐにアップデートしてください」とメッセージを送信するのではなく、「既に95%の人がアップデートしています」というメッセージを送信するという方法も考えられます。
人は前者のネガティブ的なメッセージよりも、後者のポジティブメッセージのほうが、ソフトウェアアップデート実施する率が高い傾向があることが、ある実験結果においても示されておりナッジ的サイバーセキュリティは人のセキュリティ行動を向上するための一つの有効な施策であると考えられています。
もちろんこのような比較的単純な仕掛けのみで全ての人々のセキュリティ行動を変えられるわけではありません。しかしながら、行動経済学的な視点に基づいて、人々のどの行動がインシデントにつながるのかという観点を可視化・整理することは、「自分はフィッシング詐欺にはひっかからない」「メール誤送信はしない」と過信している人々の行動原因を明らかにし、行動を改善させるアプローチを考える一つの有益な示唆を提供すると考えます。
そして、既にこのようなナッジ型セキュリティアプローチを効果的に導入するための検討が、現在各国で進められています。例えば、欧州では2016年に、欧州委員会共同研究センターが「アラートメッセージを用いたナッジ型オンラインセキュリティ行動」という調査報告書を公表しています。本報告書は、ドイツ、スウェーデン、ポーランド、英国、スペインを対象にサイバーセキュリティ脅威に対する様々なアラートメッセージに対して、どのように行動するかについてのオンライン実験を行い、その結果をまとめたものです。詳細については、直接報告書をお読みいただきたいのですが、セキュリティリスクを低減するためのアラートメッセージをどのように表示すれば人々は安全な行動をとるようになるのか等についての実験結果を示しており、ナッジ的アプローチは人々のオンライン行動のセキュリティ向上に有効である点を示しています。
また、アジアでは、シンガポール政府が2016年10月に公表したサイバーセキュリティ戦略において、国民のサイバー空間上での安全性向上に向けた教育施策に、「ナッジ型アプローチ」を導入すると明記しています。
このように、様々な国の政府や企業等のナッジ型サイバーセキュリティアプローチの取組み動向をみてみると、サイバーセキュリティの人的側面での対策にあたっては、人の行動に着目した行動経済学あるいは行動科学の知見を取り入れることが一定程度有効であり、検討する価値があると考えられていることが見て取れます。改めてこれら事例を調べてみることで、自組織の人的セキュリティ向上施策を検討する際にも、有益な示唆を得ることができるのではないでしょうか。
まとめ
今日のあらゆるモノやヒトが多層的につながり、実空間とサイバー空間の融合が高度に深化する社会においては、そのセキュリティリスクを分析した上で、様々なアプローチを用いて対応していくことが求められます。一方で、一般のITユーザーはこれらリスク認識や提供される多種多様なサービスやツールを適切に取捨選択して最適な対策を自ら実施することには限界があり、政府やセキュリティに詳しい事業者や専門家等が一般利用者の安全・安心でかつ利便性を損ねないセキュリティ行動ができるような環境を構築・防護していく必要があります。
本記事では、そのための手法の一つとして行動経済学や行動科学の知見を用いたナッジ型サイバーセキュリティの考え方や取組みについて紹介しました。ヒューマンエラーに起因するセキュリティインシデントが未だに一定数の割合を占める今日の状況において、自社や自組織における人々の行動に着目したナッジ型サイバーセキュリティの重要性は今後も重要になると考えられ、更なる研究・検討が必要と考えます。