情報セキュリティにおける人的要因の重要性が叫ばれて久しいが、その対策は十分に行われているのだろうか。日本セキュリティ心理学会 代表幹事の内田勝也氏は、9月9日~11日に開催されたオンラインイベント「TECH+フォーラム セキュリティ 2025 Sep. 自社にとっての最適解を探る」において、「人的要因が80%を占める」と言われる現状に対し、セキュリティ心理学の観点から新たなアプローチを提案した。

セキュリティの脆弱性は「最も弱い部分」で決まる

内田氏は講演の冒頭で、「桶の理論」を引用し、最も低い部分(ウィークエストリンク)が全体のセキュリティレベルを決定すると説明した。

「セキュリティレベルは、セキュリティ対策の平均値だと考える人がいますが、実際は違います。桶の絵を思い浮かべてください。桶側の高さが異なる場合、水は最も低い桶側部分から漏れ出します。セキュリティも同じで、最も脆弱な部分がそのシステム全体のセキュリティレベルを決定します」(内田氏)

  • 桶の理論のイメージ図

    桶の理論のイメージ図

日本では暗号やネットワークセキュリティといった技術的対策に注目が集まりがちだが、運用やセキュリティ心理学的な観点からの議論はあまり多くない。同氏は「人的要因は60%という説もあるが、いずれにしても、半分以上は人間が関わっていることになる。にもかかわらず、日本ではあまりこの分野の話がされていない」と問題提起した。

教育の本質は「教える」だけでなく「育てる」こと

次に内田氏は、現在のセキュリティ教育・訓練が抱える課題を提起した。

「教育という漢字は『教える』と『育てる』の2つの文字からできています。一方的に教えて『分かったか?』と聞くのではなく、育てることも重要です」(内田氏)

この考え方の具体例として、同氏は駐車禁止マークのクイズを示し、「右上から左下の斜線と、左上から右下の斜線、どちらが正しいか? 2択なので、どちらかに手を挙げれば当たるが、それで本当に良いのか」と問いかけた。

  • 駐車禁止マークのクイズ例(スライド左下)

    駐車禁止マークのクイズ例(スライド左下)

そして、単純な暗記ではなく、なぜそのマークがその向きなのかという理由を理解することの重要性を強調。同心円が渦巻きに見える「フレーザーの錯視」の例も挙げながら、「何かあったときに、それが本当に正しいかどうかをきちんと検証すること、そしてその経験が非常に重要」と語った。

「性弱説」に基づくセキュリティ対策の必要性

内田氏がとくに力を入れて語ったのが「性弱説」の概念だ。これは、人間が誘惑や苦しみに負けてしまう弱い心を持っているという前提に立つ考え方である。

同氏は「見知らぬ場所に落ちているお金を拾うか、警察に届けるか、無視するか」という問いを提示し、金額によって人々の行動が変化する可能性を示した。

  • 落ちているお金に対する選択肢

    落ちているお金に対する選択肢

「500円以下なら懐に入れるか無視するかもしれません。3億円なら、税金のかからない雑所得として、毎年1000万円ずつ使えば30年暮らせます。1~2%の確率で、懐に入れるかもしれません。人間は弱い心を持っているものなのです」(内田氏)

そして、同氏は、禁止事項を羅列するような従来の情報セキュリティの手法を批判する。

「あれをやっちゃいけない、これをやっちゃいけない、というやり方では良くありません。むしろ楽しくなければならない。関係者を守る仕組みづくりが大事です。情報セキュリティは、弱い心の持ち主が塀の中に落ちない仕組みであり、正直者への支援が必要です。『やっていないことを証明する』ことの強力な武器になるべきなのです」(内田氏)

「やっていないことを証明する」ための具体的な方法の1つに、システムログの取得が挙げられる。同氏は、かつて情報漏えい事件が発生した際、20人もの社員が同一のユーザーIDを使用していたために犯人を特定できなかった事例を挙げ、個別のID付与の重要性も訴えた。

「環境犯罪学」と「割れ窓理論」 - 不正を起こしにくい環境づくりの重要性

セキュリティ心理学のアプローチとして内田氏は、性弱説の延長線上にある「環境犯罪学」について解説した。

「環境犯罪学とは、正しいことをやっていた人も罪を犯し得る、あるいはそういう環境になると問題が出てくる、という考え方です。これに対する予防策の例として、コンビニエンスストアが挙げられます。道路側のガラス越しにレジが必ず見えるような設計になっているのは、強盗が入りにくい環境をつくるためです」(内田氏)

これは「CPTED(Crime Prevention Through Environmental Design)」という理論に基づき、環境をうまく利用して犯罪が起こりにくい仕組みをつくるものである。

また、同氏は「割れ窓理論」についても言及し、「小さな犯罪や違反を放置すると、だんだん大きな犯罪につながっていく。可能な限り早い対応を取ることが重要」と説明した。

ソーシャルエンジニアリングと誘導質問術

講演の後半で内田氏は、ソーシャルエンジニアリングの手法を「誘導質問術(Elicitation Techniques)」として、言及した。

ソーシャルエンジニアリングは、人間心理の脆弱性を突き、気付かれないうちに情報を盗み出す手法であり、電話、書面、インターネットなどさまざまな手段で行われる。

「気が付かないうちに人をだます、あるいは必要なものを盗っていくのがソーシャルエンジニアリングです。最近の電話詐欺なども、誘導質問術が用いられています。FBIが公表する『Elicitation Techniques』では、日本の窓口サービスやコールセンターでの電話対応にもそのまま使えるような丁寧な言葉で書かれていることが分かります」(内田氏)

  • 『Elicitation Techniques』(スライド中央右)

    『Elicitation Techniques』(スライド中央右)

誘導質問術の実例として、同氏はとあるテレビ番組での出来事を紹介した。2人の女優に対し、司会者は、まず年下の女優に年齢を聞き「21歳」という回答を得た。しかし、年上の女優には「女性に年齢を聞くのは失礼」と言われ年齢を聞き出せなかった。続いて「2人の関係は?」と司会者が聞くと、年下の女優は「この方と姉が同級生です」と答えた。そこで、すかさず、「姉さんとは何歳違う?」と質問。年下の女優が「3歳」と答えたことで、直接尋ねていない年上の女優の年齢まで明らかになってしまった。

セキュリティ心理学の可能性

内田氏は講演の最後に、セキュリティ心理学が目指す方向性について語った。

「米国の例ですが、人間へのセキュリティ投資と、パソコンへの投資では大きな違いがあり、これでは、人間への攻撃があれば、簡単に最も脆弱性があることが分かっているなら、それに対する適切な対策を考える必要があります」(内田氏)

  • 人間へのセキュリティ投資とパソコンへの投資の違い

    人間へのセキュリティ投資とパソコンへの投資の違い

セキュリティ心理学は、技術的対策だけでは解決できない人的要因の問題に、心理学的なアプローチで新たな解決策を提供する学問分野だ。「事前にどういうことが起こりそうかを予測できれば、より効果的な対策を立てられる。そのため、セキュリティ心理学会を立ち上げた」と同氏は説明する。

情報セキュリティにおける人的要因への対策は、教育や啓発を超えて、人間の心理や行動特性を深く理解したアプローチが求められている。セキュリティ心理学の発展により、より実効性の高いセキュリティ対策の実現が期待される。