セキュリティの新しい風 ~Birds of a feather~
第二回 "教育"は最大の防御通達を社員は読んで心に留めているのだろうか?
執筆者
- 電気通信主任技術者/工事担任者 試験 セキュリティ検討委員
- ISMS/ITSMS 審査判定委員会 委員長(~現在)
- フィッシング対策協議会 ガイドライン策定ワーキンググループ主査(~現在)
- 総務省「ICTビジョン懇談会」構成員
- 事業仕分け人/行政事業レビュー構成員
- 佐賀県学校教育ネットワークセキュリティ対策検討委員会 委員長(2016年7月)
利用者への教育・訓練について
利用者に対し、どの様な教育・訓練を行うかは単純ではないが、2、3時間での教育・訓練を行ったことがある。この教育・訓練は、ソーシャルエンジニアリング攻撃を想定して、カリキュラムを作成した。認知心理学や行動科学、犯罪心理学等の知見を基にして行った。
①教育・訓練内容は、時間的な制約もあり、基本的には講義中心で行った。
② 単純な情報伝達的な教育・訓練等は、必ずしも有用ではないことを示す。
例えば、図表6に示した2つの駐車禁止マークで正しい回答を知っている人は少ない。自動車教習所では、一方だけ教える。
また、道路を歩く、あるいは、自動車で走っていても、頻繁にみる標識だが、区別してみることはない。確実に覚えるのであれば、類似のものを対比し、更に、その由来まで説明をすれば、長く記憶に残る。
③カクテルパーティ効果
興味がないものは、見えない、聞こえない。カクテルパーティ効果と呼ばれ、大勢がいる会場で、それぞれが雑談していても、自分が興味ある人の会話や自分の名前等は聞こえる。逆に興味がない内容であれば、聞こえない、見えないことがある。認知心理学では、「選択的注意」と呼んでいる。 例えば、ある利用者が課題を見逃しても、別の利用者がそれに気づき、一緒に対応できれば、課題を解決できる可能性がある。 高度化、複雑化している攻撃に対して、一人一人が解決するのではなく、グループで解決する仕組みが大切なことを「カクテルパーティ効果」は教えてくれる。
④一般の組織では、上下関係が強く上司に反論やコメントができない環境では、ソーシャルエンジニアリング攻撃に対し、十分な機能を果たさない。
現実の世界では、航空機事故や医療事故等が上下関係の強さが原因で大事故になった例がある。 スペイン領カナリア諸島のテネリフェ島の空港で、1977年3月に発生したジャンボ機同士の衝突が有名で、乗客・乗員合わせて583名が死亡した航空機事故がある。
※スペイン領カナリア諸島のテネリフェ島の空港で、1977年3月に発生したジャンボ機同士の衝突が有名で、乗客・乗員合わせて583名が死亡した航空機事故がある。日本語:https://ja.wikipedia.org/wiki/テネリフェ空港ジャンボ機衝突事故
セキュリティ周知の教育・訓練で、「Security Awareness」と言われるもの
⑤セキュリティに関する基礎的な教育・訓練の難しさはいくつかある
- やさしい言葉で話し、専門用語を使わない。
- 写真は勿論のこと、可能であれば動画を利用する。
- 一方通行的な教育・訓練にしない。「図表6 駐車禁止マーク」の質問のように、考えさせる質問だが、確実に覚える方法として教える。
- 自分の組織で発生したセキュリティ事件・事故があれば、それから学んだことや課題を提供する。それが無理であれば、マスコミ報道やセキュリティベンダーからの情報で関連があると思われるものからの情報を提供する。
利用者への教育・訓練や情報提供では、行えば理解してくれると思われるが、色々工夫しないと、理解度が深まらないことを、教育・訓練を実施者は理解して行う必要がある。
