EN

NRIセキュア ブログ

ヒューマンエラーによる情報漏えいを防ぐ!行動経済学をセキュリティへ応用

目次

     

     現在起こっている様々なサイバーセキュリティインシデントのうち、約1/3程度のインシデントは従業員等の対策ミスや対応誤り、いわゆるヒューマンエラーに起因しているといわれています。したがって、サイバーセキュリティを強化していくためには、技術的なセキュリティ対策の導入とともに、個人のセキュリティに対する意識や行動を変えるような施策の導入も一層重要となります。

     本記事では、ヒューマンエラーに起因するインシデントを低減していくためのアプローチとして、「行動経済学」の観点から検討されている新たなセキュリティ対策のアプローチについて紹介します。

     

     

    ヒューマンエラーによる情報漏えいにはどんなケースがある?

     まずは、ヒューマンエラーにより、情報漏えいに繋がるケースをいくつかご紹介します。

    ケース①:置忘れ・紛失

     顧客との打ち合わせに必要な書類(の入ったバッグ)やスマートデバイス(モバイルPCやスマートフォンなど)を電車等に置き忘れるケースが考えられます。

    また、どこに忘れたのかすら覚えていなかったり、思い出せないことで、発見できずに紛失してしまう場合もあります。

     

    ケース②:メールの誤送信・標的型メールの開封

     メールの誤送信では、ToやCcに指定する宛先のメールアドレスを間違えたり、添付ファイルを間違えて送ってしまうケースが考えられます。メール送信前の宛先や添付ファイルの確認が不十分になっている状態です。

     また、標的型メール内に添付されたファイルなどを開封し、ウイルスに感染して情報が漏えいしてしまうケースも考えられます。この場合、ウイルスに感染していることに気づかず、被害が拡大してしまう可能性もあります。

     

    ケース③:未許可のクラウドサービスやSNSを利用

     社内で利用許可されていない、またはセキュリティ対策が十分ではない、クラウドサービスやSNSへファイルをアップロードし、情報漏えいに繋がるケースが考えられます。

     

     

     

     以上、ヒューマンエラーにより、情報漏えいに繋がるケースをいくつかご紹介しました。
     これらのケースを見て、情報漏えいには至らなかったとしても、同じような経験・ミスをしてしまった、という方もいるのではないでしょうか。普段は対応できている人でも、疲労やストレスの蓄積により、注意力が散漫になり、このようなケースを引き起こす可能性があります。
     次章以降では、このようなヒューマンエラーによるインシデントを低減していくためのアプローチについてご紹介します。

    ヒューマンエラーを防ぐ!「行動経済学的」なアプローチとは?

     ヒューマンエラーに起因するインシデント、すなわち人間の誤った認識、あるいは無意識的な行動に起因する対応を、我々はどのように改善できるでしょうか。この点については、これまでにも心理学的なアプローチを含めて既に多数の研究や施策が展開されていますが、本記事では行動経済学の観点から、現在の世界での試みについて紹介します。
     
     行動経済学とは、認知心理学や実験経済学等の知見を取り込むことで、従来の経済学では説明のつかない人々の行動を体系的に説明しようと試みる学問領域のことです。伝統的な経済学は、「合理的な人間」が経済合理的な選択を行う前提で様々な社会モデルを構築することを目指すのに対し、この前提では説明できない多くの事象に対して、認知心理学や複雑性、実験経済学といった隣接分野の手法や知見を取り込んで発展してきているのが、行動経済学になります。
     
     特に、2002年にノーベル経済学賞を受賞した認知心理学者ダニエル・カーネマンらが、人々が非合理な行動をとる原因に「認知バイアス※」が生じている点を明らかにし、この知見等を経済学者が取り込むことで、従来では説明のつかなかった人々の行動を理論化する研究が広がりました。そして、2017年には行動経済学者のリチャード・セイラーがノーベル経済学賞を受賞したことにより、現在行動経済学は世界的なブームになっています。
    ※ 例えば、長期的には明らかに利益の大きい選択肢が提示された場合でも、選択を変えることの面倒さ等から現状維持を選ぶ「現状維持バイアス」などが認知バイアスとして知られています。
     
    Difference between traditional economics and behavioral economics

     図1. 伝統的経済学と行動経済学の違い(NRIセキュア作成)


     このように、現在、様々な研究者によって行動経済学の研究が進められていますが、本研究成果を一部の国や企業が政策形成プロセスやビジネスにも取り入れようとする動きも広まっています。

     

     例えば、米国では年金制度や小児肥満、医療保険制度、エネルギー問題等に対して、従来の刑罰や経済的インセンティブだけではない形で、人々が最適な選択を行えるようにする「ナッジ(Nudge)」というアプローチがオバマ政権下の多数の政策において導入されました。ナッジとは直接的には「軽く、肘でつつく、押す」というニュアンスですが、個人の行動を強制させるのではなく、選択肢の自由は保持しながら、適切な選択肢を推奨するための様々な仕掛けを導入することを意味しますが、行動経済学に基づく有名な政策アプローチとして知られています。

     

    Case examples utilized by the US government

    図2. 米国政府でのナッジ活用事例
    (出典:キャス・サンスティーン(2017)「シンプルな政府」をもとにNRIセキュア作成)

     

     また、英国では2012年に内閣府に「行動洞察チーム(Behavioral Insight Team」というナッジ・ユニットが設置されました。本組織は、2013年からは政府系ジョイントベンチャーとして独立して活動していますが、行動経済学の知見を用いて、政策の合理化やイノベーションの促進等を目的に様々な活動を行っています。


     同様に、日本においても環境省が2017年4月に日本版ナッジ・ユニットを発足し、家庭・業務・運輸部門等のCO2排出実態に係るデータを収集、解析し、個別の実態を踏まえた形で個々に情報をフィードバックして行動変容を促すモデルを構築するための実証実験を企業と連携して進めています。

     このように、既に多くの国において行動経済学の知見が様々な分野や領域に活用しております。そして、この知見をサイバーセキュリティの領域にも取り入れようという検討も進められています。

    Earth planet on white background with pencil sketches. Elements of this image are furnished by NASA

    サイバーセキュリティへの行動経済学的アプローチの応用

     ヒューマンエラーに起因するセキュリティインシデントを減らそうとした場合、行動経済学の知見はどのように活用できるのでしょうか。

     

     例えば、私たちが日常的に行っているメール送受信やファイル共有、外部サイトアクセス等といった行動に対して、業務に支障を及ぼさない形で社員が自らセキュリティ上安全な行動をとれるようにする仕掛けを考えるというのが、一つの方法です。メール誤送信や外部への不正なファイル共有などによる情報漏えいを防ぐ際には、メール誤送信ソフトやアクセス制限等による対策を実施することが一般的なアプローチですが、過度なセキュリティ対策を導入してしまうと、管理コストの増加や、業務効率が悪化する可能性もあります。

     

     一般的なナッジ型アプローチは、対象者がある行動を選択する際に、最適な選択肢を自主的に選ばせるような仕掛けを導入することです。したがって、ナッジ型サイバーセキュリティの方法としては、例えば外部からの怪しいメールが届いた際や信頼されないウェブサイトにアクセスした際のアラートメッセージの表示の仕方を、従来型の注意メッセージから、画像等が含まれるアラートメッセージに変えることで、メール開封やサイトにアクセスしようとする行動を変える、といった方法が考えられます。

     Expected effect of Nudge type cyber security

     

    図3. ナッジ型サイバーセキュリティの導入効果(NRIセキュア作成)

     

     また、人はネガティブ情報よりもポジティブ情報に反応するという認知心理学の実験結果を利用し、セキュリティソフトウェアのアップデートの実施を促す際には、「あなたはアップデートしていないので、すぐにアップデートしてください」とメッセージを送信するのではなく、「既に95%の人がアップデートしています」というメッセージを送信するという方法も考えられます。

     

     人は前者のネガティブ的なメッセージよりも、後者のポジティブメッセージのほうが、ソフトウェアアップデート実施する率が高い傾向があることが、ある実験結果においても示されておりナッジ的サイバーセキュリティは人のセキュリティ行動を向上するための一つの有効な施策であると考えられています。

     

     もちろんこのような比較的単純な仕掛けのみで全ての人々のセキュリティ行動を変えられるわけではありません。しかしながら、行動経済学的な視点に基づいて、人々のどの行動がインシデントにつながるのかという観点を可視化・整理することは、「自分はフィッシング詐欺にはひっかからない」「メール誤送信はしない」と過信している人々の行動原因を明らかにし、行動を改善させるアプローチを考える一つの有益な示唆を提供すると考えます。

     

    Big idea. Smart boy with solution lightbulb above head

     そして、既にこのようなナッジ型セキュリティアプローチを効果的に導入するための検討が、現在各国で進められています。例えば、欧州では2016年に、欧州委員会共同研究センターが「アラートメッセージを用いたナッジ型オンラインセキュリティ行動」という調査報告書を公表しています。本報告書は、ドイツ、スウェーデン、ポーランド、英国、スペインを対象にサイバーセキュリティ脅威に対する様々なアラートメッセージに対して、どのように行動するかについてのオンライン実験を行い、その結果をまとめたものです。詳細については、直接報告書をお読みいただきたいのですが、セキュリティリスクを低減するためのアラートメッセージをどのように表示すれば人々は安全な行動をとるようになるのか等についての実験結果を示しており、ナッジ的アプローチは人々のオンライン行動のセキュリティ向上に有効である点を示しています。

     

     また、アジアでは、シンガポール政府が201610月に公表したサイバーセキュリティ戦略において、国民のサイバー空間上での安全性向上に向けた教育施策に、「ナッジ型アプローチ」を導入すると明記しています。

     

     このように、様々な国の政府や企業等のナッジ型サイバーセキュリティアプローチの取組み動向をみてみると、サイバーセキュリティの人的側面での対策にあたっては、人の行動に着目した行動経済学あるいは行動科学の知見を取り入れることが一定程度有効であり、検討する価値があると考えられていることが見て取れます。改めてこれら事例を調べてみることで、自組織の人的セキュリティ向上施策を検討する際にも、有益な示唆を得ることができるのではないでしょうか。

     

    Businessman standing in front of opened doors and making decision

    まとめ

     今日のあらゆるモノやヒトが多層的につながり、実空間とサイバー空間の融合が高度に深化する社会においては、そのセキュリティリスクを分析した上で、様々なアプローチを用いて対応していくことが求められます。一方で、一般のITユーザーはこれらリスク認識や提供される多種多様なサービスやツールを適切に取捨選択して最適な対策を自ら実施することには限界があり、政府やセキュリティに詳しい事業者や専門家等が一般利用者の安全・安心でかつ利便性を損ねないセキュリティ行動ができるような環境を構築・防護していく必要があります。

     本記事では、そのための手法の一つとして行動経済学や行動科学の知見を用いたナッジ型サイバーセキュリティの考え方や取組みについて紹介しました。ヒューマンエラーに起因するセキュリティインシデントが未だに一定数の割合を占める今日の状況において、自社や自組織における人々の行動に着目したナッジ型サイバーセキュリティの重要性は今後も重要になると考えられ、更なる研究・検討が必要と考えます。