« なぜ人はソーシャル・エンジニアリングにだまされるのか(4) | トップページ | フィッシングサイトの多い国 日本は8位 »

2009年2月17日 (火)

なぜ人はソーシャル・エンジニアリングにだまされるのか(5)

今回もTECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

今回は、人に対する教育についてです。

 2007年に米国連邦捜査局(FBI)が行った「CSI/FBI Computer Crime and Security Survey」(コンピュータ犯罪とセキュリティ調査)によると、「ソーシャル・エンジニアリングに対する社員教育の効果が確認できている」と答えたのは全体の13%に過ぎなかった。この13%という数字は低いように見えるが、この調査では、ソーシャル・エンジニアリングに関する教育をまったく行っていないという回答はなかった。

 ソーシャル・エンジニアリング対策としてまず行うべきことは、セキュリティ・ポリシーを構築し、ユーザーに対する教育を強化することだ。科学的な裏付けがあれば、ソーシャル・エンジニアリング対策の説得力も増す。社員研修の資料で、ソーシャル・エンジニアリングが悪用する認知的偏向を取り上げ、それを悪用した実例をビデオなどで見せれば、より効果的になるだろう。

 人の持つ“人間性”を変えることはできない。人は、感情と理性の両面を持ち、心理的な誤りを犯しがちな生き物である。これは当然のことかもしれないが、ソーシャル・エンジニアに悪用されると危険な状況を引き起こす可能性がある。攻撃から身を守るためには、ソーシャル・エンジニアリングの手口と特性をユーザーによく理解させることが重要だ。

「ソーシャル・エンジニアリングに対する社員教育の効果」ということでは、「効果が確認できている」が13%もあるというのは驚いていますし、信用してよいかどうか難しいと思っています。まずは、何を持って「効果」としているかです。それが単に理解度であるなら、ソーシャル・エンジニアリング対策の実効性はほとんどないからです。教育は、単なる「理解」ではほとんどの場合、効果がないと考えています。実際に判断や行動ができるようになること、それが目指すべき効果であると思うからです。
そのためにも、まずは「ソーシャル・エンジニアリングの手口と特性をユーザーによく理解させる」こと。そして、どうすればよいか考えさせ、適切な判断や行動ができるようにすること、それがソーシャル・エンジニアリング対策(に限らずですが)の教育のおるべき形ということです。

しかし、その教え方が難しいのですね。現在、トライ中です。(可能なら、近いうちここでご報告します)

|

« なぜ人はソーシャル・エンジニアリングにだまされるのか(4) | トップページ | フィッシングサイトの多い国 日本は8位 »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/28149873

この記事へのトラックバック一覧です: なぜ人はソーシャル・エンジニアリングにだまされるのか(5):

« なぜ人はソーシャル・エンジニアリングにだまされるのか(4) | トップページ | フィッシングサイトの多い国 日本は8位 »