組織的・実践的・継続的な教育で
「セキュリティ文化」は醸成できる
ストーカー殺人事件は、個人情報への「標的型電話攻撃」だが、それまでは氏名、住所、性別、年齢の基本4情報の漏洩で殺人に発展することはなかった。ただ、殺人という最悪の事態となったこの事件を「他山の石」とし、標的型攻撃に関する複数要因が発生しても、情報漏洩を防ぐ体制の構築が必要であろう。
特に、電話照会や窓口対応は、人間の関与する部分が大きく、複数の職員による組織的な対応が重要だ。これは、自治体に限らず、個人情報を扱う企業などでも同じである。
誘導質問術やなりすまし等のソーシャルエンジニアリング攻撃は、注意喚起だけでは防げない。基本的な考え方は、孫子の「敵を知り、己を知れば、百戦危うからず」であり、実践的・継続的な教育・訓練により、「セキュリティ文化」の醸成が必要になる。
前述の自治体の研修では、時間的な制約から、チームでの議論や組織全体で誘導質問術に対応する体験等はできなかったが、徹底して行うのであれば、1日程度をかけて誘導質問術等の実施を検討し、参加者に体験させることが望ましい。
多くの職員・社員を一度に参加させることが難しければ、サイバーセキュリティ分野に関係している人員に対してだけでも、「誘導質問術」の怖さや巧みさを周知させることが、セキュリティ心理学やセキュリティ文化の醸成につながるのではないだろうか。
(情報セキュリティ大学院大学名誉教授 内田勝也)
【参考資料】
[1] 内田勝也「誘導質問術からみた個人情報漏えいの考察」、情報処理学会論文誌、2015年
[2] Simon & Chabris、見えないゴリラの実験