検索
連載

現金より情報の方が盗みやすい?――ある実験が明らかにした「行動規範はセキュリティに役立つか」「セキュリティ心理学」入門(2)(2/2 ページ)

人間にまつわるセキュリティを考える本連載。第2回のテーマは「行動規範はセキュリティに役立つのか?」です。企業における「社是・社訓」や、国家公務員に対する「倫理規程」などの行動規範が、情報セキュリティ上果たす役割について、ある実験を参考に考えます。

Share
Tweet
LINE
Hatena
前のページへ |       

不正を防ぐには?――ダン・アリエリーのもう一つの実験

 前に紹介した二つの実験に加え、ダン・アリエリーは以下のような実験も行っています。

実験3

実験内容は実験2と同じ。ただし今回は、各グループに以下のようなことを行わせた。

  • グループ1:特になし
  • グループ2:実験前に、高校時代に読んだ書籍の名前を10冊程度書き出してもらった
  • グループ3:実験前に、「モーセの十戒」の10項目を書き出してもらった

結果

実験の結果、各グループの正答率は以下のようになった。

グループ名 グループ1 グループ2 グループ3
平均正答率 3.1問 4.1問 3.1問

 この実験の結果から、以下のことが分かりました。

  • グループ3の正答率は、解答の内容をごまかすことができないグループ1と同じだった
  • 「十戒」の10項目全てを思い出した人も、一つや二つしか思い出せなかった人も、結果に違いはなかった

この実験から考えられること

 もし、この実験結果が有効だとするならば、「『社是・社訓』『倫理規定』などの行動は、この実験における『十戒』の代わりになる可能性がある」と考えられます。少し前の調査になりますが、2012年に大同生命が「社是・社訓の制定は、組織力を高める原動力になるか」という趣旨の調査を行いました(参考リンク)。これによれば、調査対象の全企業のうち29.7%が社是・社訓を制定していると回答しています(下図)。

 また、日本には創立が古い企業が数多くあるといわれていますが、創業年数が長いほど、社是・社訓を制定している企業数が増えるようです。創業「80〜99年」では41.6%、「100年以上」では38.3%と、創業が80年未満の企業に比べ、より多くの企業が社是・社訓を持っていることが分かります。

 その上、業績が良い企業(35.8%)の方が、悪い企業(26.8%)より、社是・社訓を持っている割合も多いともされています。さらに「10年後の業績予想」においても、良くなると回答した企業の40.3%が社是・社訓を持っており、悪くなると回答した企業では25.8%にとどまっています。こうして見ると、社是・社訓を定めるのは良いことずくめのように思えます。

 とはいえ、当然のことながら、この調査だけで「社是・社訓を持つことが企業にとって必要である」と軽々に判断することはできません。ただ、前述のダン・アリエリーの実験などと併せてみたとき、「こうした行動規範にはそれなりの効果があるのではないか?」と筆者は考えています。

 筆者の知る限り、日本国内ではこうした規範を持っているセキュリティ専門家組織などはあまり多くないようです。筆者が以前参加したある海外の研修組織の「セキュリティ実践コース」では、修得した攻撃技術を不正に使用しないことを研修開始時に全ての参加者に誓約(宣誓書にサイン)させていました。企業などでも、社是・社訓(あるいは「セキュリティ規約」など、名前は何でも構いません)を定期的に確認させるなどの取り組みを行えば、それなりのセキュリティ上の効果を得られるのではないでしょうか?

 また、国内の情報セキュリティ関連の資格などでも、先ほどの(ISC)2の倫理規約のようなものを定めているものは多くありません。筆者は、国内における情報セキュリティ資格でも、知識の確認だけを行い永久に資格を与えてしまうのではなく、(ISC)2や、同様の規範を定めているISACAの資格試験のように、行動規範に違反した場合には資格を剥奪するような仕組みや、定期的な維持教育で規範を再確認させるような仕組みがあってもよいのではないかと考えています。

 毎朝の朝礼で、社員一同が社是・社訓を「唱和」する。最近、あまり見かけない光景ですが、セキュリティ対策としては効果的な取り組みなのかもしれません。もはや情報セキュリティを避けて通れない以上、皆さんの組織でも、いま一度こうした「行動規範」の必要性について考え直してみてはいかがでしょうか。

著者プロフィール

内田 勝也(うちだ かつや)

情報セキュリティ大学院大学 名誉教授 博士(工学)。

オフコン企業でのCOBOL開発、ユーザー支援、ユーザー/社員教育や、

米系銀行におけるデータセンター管理、システム監査/業務監査、

損害保険会社でのコンピュータ保険作成支援、事故データベース作成などに従事後、

中央大学研究開発機構での「21世COEプログラム『電子社会の信頼性向上と情報セキュリティ』」事業推進担当、「情報セキュリティ・情報保証人材育成拠点」推進担当を経て、

情報セキュリティ大学院大学にて「情報セキュリティマネジメントシステム」「リスクマネジメント」講座を担当。

「セキュリティ心理学」「セキュリティマネジメント」「リスクマネジメント」などの調査研究を行う。

「情報セキュリティ心理学研究会」(日本心理学会 研究助成研究会)代表。

「フィッシング対策協議会 ガイドライン策定ワーキング」主査。

「ISMS/ITSMS認証審査機関 審査判定委員会」委員長。

Webサイト(http://www.uchidak.com/


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  4. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  5. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  6. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  7. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  8. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
ページトップに戻る