「ユーザーが無知だと思い込む」「使い勝手の悪さが原因で内部脅威が発生する」 セキュリティ専門家が抱きがちな6つの誤解をNISTが紹介：ユーザーの協力のないセキュリティ対策は実施できない

NISTは、セキュリティ専門家が一般ユーザーに対して抱きがちな誤解について、公式ブログで紹介した。

[＠IT]

　NIST（米国国立標準技術研究所）は、2023年3月20日、セキュリティ専門家が一般ユーザーに対して抱きがちな誤解をテーマにした論文「Users Are Not Stupid」の概要を公式ブログで紹介した。論文は、同組織所属のコンピュータサイエンティスト、ジュリー・ヘイニー氏が執筆したものだ。

　「セキュリティ専門家のコミュニティーは、技術に大きく依存してセキュリティの問題を解決しようとしている。そのため、セキュリティ対策において重要な、人的要素を十分に考慮しないことがある」（ヘイニー氏）

　人的要素とは、セキュリティツールに対するユーザーの認識やユーザーのセキュリティ導入に影響を与える個人的、社会的要因のことを指す。強力なセキュリティのツールやアプローチでも、ユーザーがそれを障害と認識し、使わなければ、リスクレベルが上昇する可能性がある。ヘイニー氏は、セキュリティとユーザーの両コミュニティーが連帯して、サイバーリスクの軽減に取り組めるようにすることを目的として、この論文を執筆した。

　「サイバーセキュリティの意識改革が必要だ」とヘイニー氏は言う。「セキュリティの専門家である私たちは、ユーザーによく分からない言葉で話しかけ、負担をかけておきながら、優れたセキュリティ実践者であることを期待している。そのようなアプローチでは、ユーザーを成功に導くことはできない。ユーザーを妨害者と見るのではなく、彼らをエンパワーメントし、セキュリティにおけるパートナーとして認識する必要がある」

　この論文では、セキュリティ専門家を脅かす6つの落とし穴と、その解決策を説明している。6つの落とし穴とその解決策の概要は以下の通り。

ユーザーが無知であると思い込む

　ユーザーが無知だと仮定することはあるが、ユーザーを軽んじることは、ユーザーとサイバーセキュリティ専門家の間に不健全な対立関係を生み出す。これまでの研究では、ユーザーはセキュリティ対策に困惑しており、疲労感に苦しんでいることが明らかになっている。解決策として、セキュリティ専門家がユーザーと良好な関係を築きながら、ユーザーがサイバーセキュリティの積極的で有能なパートナーになるよう支援することが挙げられる。

対象者に合わせてコミュニケーションを調整しない

　セキュリティ専門家は、専門用語を使うことでユーザーの関心を低下させることが多い。また、ユーザーが関心を持つような方法でトレーニングできない場合もある。平易なメッセージで伝える、複数のフォーマットで情報を提供する、組織の広報部門に協力を求めるなどの戦略が有効だ。

使い勝手の悪さが原因で、意図せず内部脅威を作り出してしまう

　さまざまな業務上のプレッシャーの中で限界に追い込まれているユーザーは、判断力が低下しやすく、無意識のうちにユーザー自身が脅威となることがある。フィッシングメールの送信を減らすために、サーバ側でメールのフィルタリングを強化できないか検討するなど、ユーザーのセキュリティ負担を軽減することが有効策だ。また、新しいセキュリティソリューションを試験的に導入する場合、最初に少人数のユーザーでテストすることで、予測できる混乱を明らかにし、広く普及させる前に修正することができる。

セキュリティが過剰であること

　「セキュリティが過剰である」というのは、セキュリティソリューションが特定の業務に対して厳格過ぎたり制約が強過ぎたりすることを意味する。セキュリティが守られた安全なツールを使用することは重要だが、一部のユーザーはその結果として生じる複雑さで日常業務が回せなくなり、結果としてセキュリティポリシーに違反するような対応を取る可能性がある。リスク管理フレームワークを使用してリスクを評価することで、どの程度のサイバーセキュリティがその環境に最も適しているかを判断することができる。

ユーザーを従わせるため、罰則措置や否定的なメッセージに依存すること

　否定的な手段の採用は、今日の組織では一般的だ。例えば、セキュリティトレーニングが完了していない場合はユーザーアカウントを無効にしたり、サイバーセキュリティインシデントを引き起こした個人を会社として処分したりすることが挙げられる。このような対策が短期的に有効かどうかは別として、長期的にはセキュリティへの反感を生むことになる。その代わりに、適切に脅威に対応したユーザーに対してポジティブなインセンティブを提供したり、苦労しているユーザーに協力的なアプローチを取ったりすることが、セキュリティへの態度改善につながることがある。

ユーザー中心の効果測定方法を考慮していない

　ユーザーは、セキュリティトレーニングが退屈で、チェックボックスにチェックを入れるだけの作業であると感じることが多い。セキュリティトレーニングは実際にどの程度定着しているのだろうか。ユーザーからの直接のフィードバックや行動の具体的な指標がなければ、組織はこの問いに答えるのに苦労することになる。具体的な指標とは、ヘルプデスクへの問い合わせからユーザーの悩みを明らかにしたり、フィッシングのクリックなどのインシデントからユーザーがよりサポートを必要としている場所を示したりするようなものを特定することだと考えるのが効果的だ。指標を特定した後、セキュリティチームは、ユーザーとの直接的なやりとりを通じて、問題の根本原因を特定し、解決策を改善することができる。

　ヘイニー氏は、全てのセキュリティ専門家がこのような誤解をしているわけではなく、セキュリティの人的要素を認識し、対処することで好ましい進歩を遂げているセキュリティチームや組織も確かに存在すると強調した。