情報セキュリティ対策への行動科学からの探求

情報セキュリティ対策への3つめのアプローチ

第3回では「行動科学」という観点から情報セキュリティについて解説していきたいと思います。

企業はこれまで、情報セキュリティに対し、“技術”と“マネジメント”の2つの観点で取り組んできました。

例えば、不正アクセス対策の場面では、まず技術的な対策として、アクセス対象となるシステムの脆弱（ぜいじゃく）性への対策や、漏えいしにくいID／パスワードの採用、認証手段の工夫などを行ってきました。マネジメント上の対策では、アクセス対象の情報資源ごとに攻撃によるリスクを算定し、リスクに応じた対策が実現できるようにしてきました。

しかし、リスクを明確に認知することが難しい立場であるエンドユーザーにとっては、対策をとるための動機づけが弱いという状況があり、また一方で経営者にとっても、情報セキュリティ対策への投資を最適化するための判断材料が乏しいという状況があります。これらの理由から、適切な対策を実行することが難しくなっています。

こうした背景から、技術とマネジメントに次ぐ、情報セキュリティ対策の3つ目のアプローチである“行動科学”からの調査／分析の重要性が高まってきました。次からは、この行動科学の観点に立った情報セキュリティ対策の調査／分析の動向について紹介します。

行動科学に対する国内外の動向

国内では、行動科学の領域に対する活動はまだ始まったばかりです。

IPAは2008年7月から、社会心理学／行動経済学／経済学などを中心とする行動科学的な観点から、情報セキュリティの調査／分析活動を開始しました。情報セキュリティに関与するプレイヤーの行動や意思決定メカニズムを分析することが、効果的な情報セキュリティ対策を推進するうえで役立つと考えたからです。

2009年10月からは「第一回情報セキュリティと行動科学ワークショップ」を開催し、情報共有をはかっています。

一方、海外へ目を向けると、国際的には、すでに経済学的な観点から活動を開始したグループがありました。

WEIS（WorkShop on Economics of Information Security）は、2001年から毎年ワークショップを開催しており、世界の研究者が集まっています。2008年からはWEISから派生したSHB（Interdisciplinary Workshop on Human Behavior）というワークショップが始まりました。人間を行動科学の局面から探求し、効果的な情報セキュリティ対策を進めるという動きは、国際的にも始まっているのです。