情報セキュリティ対策への行動科学からの探求
情報セキュリティ対策における社会的ジレンマの調査結果
情報セキュリティ対策における社会的ジレンマ状況の調査結果を表として表したものが図3-1です。これによると、ボット感染を知らされた利用者の利得の構造は、以下の状況であることが分かりました。
(1)G-Kの全体(平均)値からみると、情報セキュリティ対策のコスト(K)は、対策をした結果得られる利得(G)よりも小さいことがわかります。この場合に対策を実施するユーザーの割合は、全体の78%です。
(2)G-Kの値は、ボットの脅威への理解度が高いほど大きくなるため、対策の効果が高く自分に利得があると感じているエンドユーザー個人は、対策を実施する意思が強いと言えます。
次に、「理解度別 利得/コスト構造と対策実施意思の有無」の表の「全体」欄で「対策を実施する」という回答をしたユーザーと「対策を実施しない」という回答をしたユーザーの、それぞれのG-Kの平均値を算出したものが、「対策実施意思の有無によるG-Kの値」の表です。
これによると、対策を実施すると回答した人のほうが、実施しないと回答した人と比較して、G-Kの数値が大きくなっています。コスト感よりも利得感のほうが大きい場合に対策を実施するという、直感的にも納得できる値になっています。
さらに、社会心理学の観点から、情報セキュリティ対策をとることに対する認知の状況を調査しました。調査した認知要素は、(1)ボット脅威の自己への危機感、(2)他人への危機感、(3)対策をとることのコスト感、(4)対策をとることの有効感、の4つです(図3-2)。
対策をとる意思が最も高かったのは、「自己と他人への危機感をもち、対策を取ることが有効であるし、コストがかからない」と回答したユーザーであり、このユーザーが対策をとる割合は91.7%でした。
行動科学を用いた今後の取り組み
ボット対策を想定した仮想的なアンケートでは、対策を実施すると回答したユーザーが80%近くあり、対策を実行する意思は高いことが分かります。しかし、これではCCCが手がけている現実のボット対策事業におけるユーザーの対策実施率である30%を説明できません。
ボット対策事業での対策実施率は、「意欲はあっても、実行しない」状況を表しています。IPAは、このような状態の構造を解明し、「意欲はあり、かつ、実行する」ためには、何が最も必要なのかについて、調査に取り組む予定です。
また、認知の観点からも、どの要素が対策実施意思に影響を与えているかを、統計的に分析していきます。さらに、今年になって初めて実施を開始したワークショップのように、情報セキュリティに関する情報共有の場を提供していく予定です。
【参考文献】
「第一回情報セキュリティと行動科学ワークショップ」(アクセス:2009.11)
「WEIS」(アクセス:2009.11)
「SHB」(アクセス:2009.11)
「警察庁 不正アクセス行為対策等の実態調査 調査報告書」(アクセス:2009.11)
「サイバークリーンセンター」(アクセス:2009.11)
