セキュリティに及ぼす人間特性とその対策
情報システムなどの工学分野では、一般ユーザの心理的な弱点を利用する「ソーシャル・エンジニアリング」と呼ばれる攻撃が増加傾向にあり、情報セキュリティなどの技術的対策のみでは、信頼性を確保することが難しくなっている。ソーシャル・エンジニアリングの主な手法としては、他人になりすまして必要な情報を収集するなりすまし、ゴミとして廃棄された物の中から目的の情報を取得するゴミ箱漁り、清掃員、電気・電話工事人、警備員等になりすましてオフィスや工場等へのサイト侵入、後ろからPC情報を取得するのぞき見、などがある。 ソーシャル・エンジニアリングは、人間の持つ本質的な弱さを利用して人をある行動へと誘導することであるが、情報セキュリティ分野以外でも多くの研究がある。その1 つに、チャルディーニの研究で、人間の弱さについて、体系化を図っている。チャルディーニは承諾誘導の戦術として「返報性」、「コミットメントと一貫性」、「社会的証明」、「好意」、「権威」、「希少性」の6 つをあげている。ソーシャル・エンジニアリングにおいて、犯罪心理学などを適用して、その対策も現在検討されている。 プラントや輸送システムにおけるヒューマンファクタについての研究の歴史は長く、人間工学、行動認知学、認知心理学など多方面から研究がなされており、近年は、情報セキュリティ分野においても、ゲーム理論やインセンティブメカニズムなどの心理学や経済学知見を活用する動きがある。しかし、人に由来する主観の問題を扱うため、活用の困難さも指摘されている。また、システムのリスク管理の観点からは、人に心理や行動に由来するリスクを低減するだけでなく、リスクの変化を制御して、システム全体のパフォーマンスの変動を抑制するなど、復元性(レジリエンス)の高いシステムの実現が期待されている。