最大のセキュリティホールは「自信過剰バイアス」

このところ、メールなどに添付したウィルスで、特定の企業・団体の情報システムへの侵入を狙う、

「標的型サイバー攻撃」

が増えていますね。

2011年10月に起きた、参議院議員に送付された攻撃メールの被害調査を担当した佐藤氏によれば、最近の情報セキュリティ関連の案件は、

「新規の依頼を断らなければならないほど増えてきた」

とのこと。

佐藤氏の部署に依頼が殺到する理由は、被害を受けた組織のセキュリティ管理体制など

「人」

の側面からも感染に至った経緯を分析できる総合力だそうです。

佐藤氏はヒューコムを経てCTCテクノロジーに転職後、情報セキュリティサービス部門の立ち上げに参画、「情報セキュリティ」について貪欲に学んで知識を深めていったのですが、一方で新たな悩みが生まれてきました。

それは、対策ソフトの導入の重要性を認識していながら

「自分だけは大丈夫」

とソフトのインストールを怠ってしまう人がいること。

そこで、佐藤氏は「行動心理学」や「社会科学」などの勉強も開始し、対策ソフトだけでなく、人の側面からもセキュリティを高める総合的な対策を考えるようになったのです。

佐藤氏は、

「人がセキュリティの弱点になり攻撃者は常にそこを狙う」

ということを実感しています。

例えば、「標的型攻撃」は意外なことに、既にウィルス対策のための

「修正プログラム」

が出ている脆弱性を狙うものが多いのだそうです。

人の弱さが、「修正プログラム」を迅速にインストールすることを妨げてしまうことを攻撃側はわかっているのです。システムの脆弱性ではなく、むしろ、人の脆弱性を突いてくる。

すなわち、最大のセキュリティホールは、実のところ、現場の「人の弱さ」にあると言えるのかもしれません。

さて、佐藤氏が「人の弱さ」と指摘する

「自分だけは大丈夫！」

という意識は、行動経済学では

「自信過剰バイアス」(Overconfidence bias）

と呼ばれています。

このバイアスは、

「自分は他人と違う存在でありたい」

という欲求が根底にあると考えられていますが、現実以上に自分が周囲の情報を十分に把握していると考え、また、自分の能力に現実以上に自信を持つ傾向のことです。

自信過剰バイアスは、言い換えると

「根拠なき自信」（笑）

と呼んでもよく、起業するときなどには、大きなリスクを積極的に取りに行く原動力ともなりえます。

しかし、セキュリティ対策においては、

「自信過剰バイアス」

は、大きな被害をもたらしてしまう、やっかいな意識です。