ここしばらく、AIにまつわるテクノロジーリスクの話が続きましたので、今回は、人間の方に焦点を移して、セキュリティ教育について考えてみたいと思います。

セキュリティの脅威はPEBKAC?

米国のIntel社がPEBCAKという「略語」を使って自社製品を喧伝したのが2006年。PEBCAK(PEBKACと同じ)とは、Problem Exists Between Chair and Keyboardの頭語を採ったもので、コンピューティング能力や騙しに弱いユーザ(人間)のほうに問題があることを指しています。

IT専門家やヘルプデスクでよく使われてきたスラングだそうです。約30年経った今でも、そうした風潮は途絶えていないようです。ただ、少なくともセキュリティ業界の立場から言えば、コンピューターやソフトウェアやインターネットやデータにも数知れないバグや欠陥があることを考えると、どちらの側も五十歩百歩と思えるのですが。

(Photo:ISF)

世界のセキュリティ実務家は、Awareness Campaignに食傷気味?

例年10月になると、米国では、”National Cyber Security Awareness Month(NCSAM)”のイベントが行われます。インターネットの安全性を高めるための啓発活動で、米国国土安全保障省やNCSA(National Cyber Security Alliance)の他、IT企業や非営利団体なども参加しています。日本でも2月に集中的に啓発行事が行われます。

しかし、Awareness(意識)を高める、あるいは啓発する、という言いまわしは、実務の世界でもよく聞きますが、少しばかり上から目線の感じがにじみ出てはいないでしょうか?PEBKACにも同じ臭いがします。

お国や巨大IT産業が取り組んでいるキャンペーンに賛(さん)を付けるわけではありませんが、セキュリティ実務家としても、いささか満腹気味のフレーズが並びがちです。とはいえ、セキュリティ教育がうまくいっている、というわけでもありません。

なぜセキュリティ教育は上手くいかないのか?

確かに、世界中の大企業が集まってサイバーセキュリティの課題と解決法を共有するNPO団体であるISFでも、「啓発」は長く続く取り組み課題であり、研究テーマです。つい先月にも10年前に書かれた会員向けレポート” From Promoting Awareness to Embedding Behaviours Secure by choice, not by chance”が書き直されました。 

「Awarenessを高めるなどと言っていないで、行動に定着させよう」「セキュリティ状態を偶然に頼っていないで、必然のことにしよう」というわけです。タイトルも内容の骨格も変わっていません。「10年間後も、同じことの繰り返し?」。そうではありません。役職員の教育によってセキュリティ状態を高めれば事業価値を安定的に伸ばせるということは、皆分かっているのです。そのためのアプローチも。そのために教育予算も獲得して投資してきたのです。

では、なぜうまくいっていない企業が多いのか?実務家は皆、どこで間違うのか?なんで役職員の行動が変わらないのか?ケーススタディやワークショップを繰り返して原因を追及し、どこで失敗するのか? そして、成功する秘訣が、今回整理されました。メンバー限りの知恵を勝手に公開するわけにはいきませんが、改訂版のレポートを書いたリチャードさんが公にした意見書を読んで鍵を読み解いてみることにします。

(以下、引用)

(専門家の意見)
セキュリティ意識の議論はほどほどにして、セキュリティ好適の行動や組織文化を育てよう

            Richard Absalom, Principal Research Analyst, ISF
                             8 October 2024
                                   ISF

10月はサイバーセキュリティ啓発月間です。何か別の呼び方をすればいいのにと思うのですが。

問題はその言葉なのです。「啓発」。私たちは何十年も使い続けてきました。大きなセキュリティ事件がトップニュースを賑わし続けるにつれて、人々のサイバーに対する意識は日に日に高まってきています。サイバーインシデントの被害が自分に及ぶと、誰であろうと、技術についてどれほどの理解があろうと、その日(あるいは1週間、1カ月)が台なしになってしまうからです。

セキュリティ啓発プログラムは何十年もの長きにわたって実施されていますが、その効果はどの程度なのでしょうか? 実際に人々の行動を変えることができたのでしょうか? 私自身、多くの関係者と話をした感じでも、これまでの取り組みが必ずしも成功を収めてきたとは考えられません。

サイバー攻撃をたくらむ犯罪者にとって、人間は依然として最大の標的であり、主な攻撃ルートです。啓発プログラムは、その状況を変えることも、人々の無防備さを問題のないレベルまで改善することもできていません。ですから、我々業界人としては、そろそろ啓発について語るのをやめて、代わりにどうすればセキュリティ好適の文化を育むことができるかを考えるべきではないでしょうか。

人間は、企業にとって最大の強み。
ただ、リスクもはらむ存在

いかなるビジネスも、今のところ人間なしでは存続することはできませんが、AIが今後数年の内に、この点について何か告げる可能性はあります。しかし、それまでの間は、リスクがまとわりついて離れない中で働き続けるしかありません。どのようなビジネスであっても、従業員や契約社員といった我々人間が、企業価値の大部分を生み出す一方で、大きなリスクも生み出してしまうのです。

サイバーの観点からだけ見ても、そのリスクは明白です。ベライゾン社の2024年データ侵害調査報告書によると、2023年のデータ侵害の68パーセントに「人的要因」が関与しており、これは悪意のある内部攻撃を含んでいません※1。この傾向は減速する兆しを見せておらず、長年にわたる各種の研究でも、サイバーインシデントの最大の原因は人的要因にあることが一貫して示されています。
※1 https://www.verizon.com/business/resources/reports/dbir/

私たち人間の行動は往々にして直感に反する傾向があり、その最たる例が意識と行動の不可解な関係です。論理的に考えれば、何かの問題に気づくことで、それを解決するために行動を変えるよう意識が向けられるはずですが、実際には、人生のあらゆる局面で、啓発キャンペーンは行動様式の変化に効果がなかったと証明されています。

私は、ここで何か特に新しいことを言っているわけではありません。優れた論説「もう啓発はやめよう」で説かれた通りです※2。2017年に書かれたものですが、今でもそのまま通用します。記事は、行動につながる意識をどのように醸成すべきかについて論じています。これは、セキュリティ教育、トレーニング、啓発(SETA)プログラムに関して私たちセキュリティ業界が実現しなければならないことと同じです。
※2 https://ssir.org/articles/entry/stop_raising_awareness_already