セキュリティ,研修Photo:PIXTA

当連載の前々回(「『標的型メール攻撃』による情報漏洩を防ぐ方法、クリック率を下げるだけではダメ!」 )では、標的型メール攻撃などのセキュリティリスクから自社を守るための適切な教育・訓練やその効果を測定する方法について説明した。今回は最終回として、受講者の立場から考えた、セキュリティ心理学に基づくセキュリティ教育・訓練の概要と実施結果を紹介する。

誘導質問術による情報漏洩か
高まるストーカー被害への危機感

 2012年11月、神奈川県でストーカー被害が殺人に発展する事件が発生した。マスコミの多くは、被害者女性の夫になりすました調査会社の経営者に、自治体職員が被害者情報を漏らした点を問題視したが、1社のみ『市職員、気付かず情報漏えいか 巧みなうそ、隙を突く』との見出しで報道した(注1)。実はこれについて、筆者もこの考えと同じ受け止め方をしていた。

注1)記事は既にウェブ上から消去されている。

 セキュリティ心理学、特に人間の心理的な隙や行動のミスを突くソーシャルエンジニアリングを考慮すると、この事件でも対象者に疑いを持たせず情報を収集する「誘導質問術」(参照:当連載第3回「誘導質問で気づかぬ間に情報漏洩、人間の弱さを突くソーシャルエンジニアリングの怖さ」)が使われた可能性が高い。

 調査会社の経営者のパソコンには個人や企業の情報が100万件以上保存されていたことからも熟練性の高さが推測でき、誘導質問術を使ったと考えても違和感はないだろう[1]

 その後、私のもとにこの事件のような被害や情報漏洩を避ける目的で、「セキュリティ心理学の教育・訓練」の依頼(2015年3月)が某自治体から届いた。そして、直接住民と接している窓口職員を中心に、2時間程度の教育・訓練を実施した。

 今回は、その際の教育・訓練の内容について詳しくお話ししたい。