| 加藤 岳久 (独)情報処理推進機構 研究員 |
[背景]情報セキュリティ対策における人的要因を考慮したインシデントモデルの構築
[問題]情報事故原因の多くが人的要因であるにも関わらず考慮されていない点
[貢献]人的要因を考慮したモデルに基づく効果的な対策の実施
今や情報システムを導入せずに,情報資産や業務のさまざまな運用管理を行う組織はない.このため情報マネジメントは各組織にとっての最重要課題の1つと認識され,国内では多くの組織がISMS(Information Security Management System)認証を受けている.認証取得をしていない組織でも,情報セキュリティポリシを策定し,ポリシに従い構築したネットワークやシステムの運用管理を行っている.
組織の情報セキュリティ対策を検討するにあたり,精緻なインシデントモデルが有用だが,情報事故の原因の多くはヒューマンエラーによるもので,人的要因を考慮した形でのインシデントのモデル化はできていない.そこで本研究では,インシデントの要因の1つと考えられるユーザの「性格」に焦点を当て,4つのステップにより情報事故に対するインシデントモデルの構築を行う.
本研究の第1のステップでは,交通事故に関する既存研究を元に,情報事故と性格との関係を演繹する.交通事故では,事故を起こしやすい性格特性と起こしにくい性格特性とがあるが,それぞれの性格特性の傾向に関わらず,ドライバはシミュレータ等の疑似体験教育で,知識(スキル)が高まり事故を起こしにくくなる.これを情報事故のインシデントモデルに写像することで,性格と教育でユーザを4つのグループに分ける「性格2グループ×知識2グループ」型のインシデントモデルを導く.
本研究の第2ステップでは,社会人のヒューマンエラーに関する既存研究を元に,ヒューマンエラーを起こしやすい性格特性(性格A)と起こしにくい性格特性(性格B)とがあることを示す.情報事故の8割以上がヒューマンエラーが原因で,セキュリティ教育を受けた社員のインシデントモデルが,ヒューマンエラーを起こしやすい性格特性が強いグループと起こしにくい性格特性が強いグループの2つに分かれることが裏付けられる.
本研究の第3ステップでは,情報セキュリティ教育の初学者である大学1年生約400名を対象に本人認証におけるセキュリティ意識に関する質問紙調査を行い,セキュリティ意識が低い傾向にある性格特性(性格C)と高い傾向にある性格特性(性格D)があることを明らかにする.認証情報の取り扱いに関する意識の低さが情報事故の温床であることから,情報セキュリティ教育初学者(大学1年生)のインシデントモデルも,性格Cの特性が強いグループとが性格Dの特性が強いグループの2つに分かれることを示す.
本研究の第4ステップでは,第2ステップ第3ステップから性格Aと性格Cの各特性は類似し,かつ性格Bと性格Dの各特性も類似していることを確認する.幼児期に培われた性格は“三つ子の魂百まで”と言われる様に年齢や経験による影響を受けにくいことから,情報事故でも事故を起こしやすい性格特性と起こしにくい性格特性とがあり,それぞれの性格特性が強いユーザがいる.そして,情報セキュリティ教育を受けることで,いったん身についた知識は無くならず,初学者から受講者への一方向の遷移もあり得る.以上から,図に示す知識やスキルが高まることで事故を起こしにくくなる「性格2グループ×知識2グループ」型のインシデントモデルの妥当性が示される.
本研究によって構築されたインシデントモデルを利用することで,組織のセキュリティ対策の選定やユーザ教育の方法を効率化することが可能となると期待される.
[問題]情報事故原因の多くが人的要因であるにも関わらず考慮されていない点
[貢献]人的要因を考慮したモデルに基づく効果的な対策の実施
今や情報システムを導入せずに,情報資産や業務のさまざまな運用管理を行う組織はない.このため情報マネジメントは各組織にとっての最重要課題の1つと認識され,国内では多くの組織がISMS(Information Security Management System)認証を受けている.認証取得をしていない組織でも,情報セキュリティポリシを策定し,ポリシに従い構築したネットワークやシステムの運用管理を行っている.
組織の情報セキュリティ対策を検討するにあたり,精緻なインシデントモデルが有用だが,情報事故の原因の多くはヒューマンエラーによるもので,人的要因を考慮した形でのインシデントのモデル化はできていない.そこで本研究では,インシデントの要因の1つと考えられるユーザの「性格」に焦点を当て,4つのステップにより情報事故に対するインシデントモデルの構築を行う.
本研究の第1のステップでは,交通事故に関する既存研究を元に,情報事故と性格との関係を演繹する.交通事故では,事故を起こしやすい性格特性と起こしにくい性格特性とがあるが,それぞれの性格特性の傾向に関わらず,ドライバはシミュレータ等の疑似体験教育で,知識(スキル)が高まり事故を起こしにくくなる.これを情報事故のインシデントモデルに写像することで,性格と教育でユーザを4つのグループに分ける「性格2グループ×知識2グループ」型のインシデントモデルを導く.
本研究の第2ステップでは,社会人のヒューマンエラーに関する既存研究を元に,ヒューマンエラーを起こしやすい性格特性(性格A)と起こしにくい性格特性(性格B)とがあることを示す.情報事故の8割以上がヒューマンエラーが原因で,セキュリティ教育を受けた社員のインシデントモデルが,ヒューマンエラーを起こしやすい性格特性が強いグループと起こしにくい性格特性が強いグループの2つに分かれることが裏付けられる.
本研究の第3ステップでは,情報セキュリティ教育の初学者である大学1年生約400名を対象に本人認証におけるセキュリティ意識に関する質問紙調査を行い,セキュリティ意識が低い傾向にある性格特性(性格C)と高い傾向にある性格特性(性格D)があることを明らかにする.認証情報の取り扱いに関する意識の低さが情報事故の温床であることから,情報セキュリティ教育初学者(大学1年生)のインシデントモデルも,性格Cの特性が強いグループとが性格Dの特性が強いグループの2つに分かれることを示す.
本研究の第4ステップでは,第2ステップ第3ステップから性格Aと性格Cの各特性は類似し,かつ性格Bと性格Dの各特性も類似していることを確認する.幼児期に培われた性格は“三つ子の魂百まで”と言われる様に年齢や経験による影響を受けにくいことから,情報事故でも事故を起こしやすい性格特性と起こしにくい性格特性とがあり,それぞれの性格特性が強いユーザがいる.そして,情報セキュリティ教育を受けることで,いったん身についた知識は無くならず,初学者から受講者への一方向の遷移もあり得る.以上から,図に示す知識やスキルが高まることで事故を起こしにくくなる「性格2グループ×知識2グループ」型のインシデントモデルの妥当性が示される.
本研究によって構築されたインシデントモデルを利用することで,組織のセキュリティ対策の選定やユーザ教育の方法を効率化することが可能となると期待される.
図1 「性格2グループ×知識2グループ」型インシデントモデル
(2013年6月17日受付)