« 「重要インフラ情報セキュリティフォーラム2009」開催 | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(2) »

2009年2月11日 (水)

なぜ人はソーシャル・エンジニアリングにだまされるのか(1)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」

からです。

もう少し早く、この記事については取り上げようと思っていたのですが、何度か読み返しているうちに書くのが遅くなってしまいました。
このネタは何度かに分けて書いてみたいと思います。

まずは、今回はその1です。

この記事によると、「どのようなセキュリティ・システムも“人”が最大の弱点となる」とのこと。

 ある有名な情報セキュリティ理論では、「どのようなセキュリティ・システムでも、人が最大の弱点となる」と定義されている。

  サイバー攻撃が巧妙化するに従って、その防御策も進化しているが、人間の性質そのものは変わらない。攻撃者にしてみれば、総当たり攻撃で暗号化パスを解読したり、ソフトウェアの新しい脆弱性を発見したり、複雑なマルウェアを作成するよりも、ソーシャル・エンジニアリングの方がはるかに効果的で簡単なのだ。前述した事件の詐欺師は、トロイの木馬を顧客にインストールさせるだけで、堅牢な金庫室に侵入することなく大金を手にしている。

 人はだまされやすく、欲深で、好奇心の強い存在である。ソーシャル・エンジニアリングの手法は、このような人間の感情や理性を巧みに利用して、犠牲者からさまざまなものを詐取する。しかし、なぜ人はだまされてしまうのだろうか。

 著名なセキュリティ専門家であるブルース・ シュナイアー(Bruce Schneier)氏は、セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域があり、これらを研究することでセキュリティに対する人の意識のズレを解明できるとしている。

「どのようなセキュリティ・システムも“人”が最大の弱点となる」という言葉は様々なところで何度も見ています。そのたびに考えてみるのですが、やはり「その通りだ」と言わざるを得ません。このようなことを考えるにあたっては「論理的かつ科学的アプローチが必要」と以前から考えていたのですが、そこに(さすが、ブルース・ シュナイアー氏)「セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域」というこの記事を読み、納得し、共感し、感激してしまいました。「セキュリティ」と「人」というと、「性善説と性悪説」というような議論や記事ばかりで、私としては納得も共感もできていなかったからです。

次回以降では、この続きの記事を書いていきたいと思っております。

|

« 「重要インフラ情報セキュリティフォーラム2009」開催 | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(2) »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/27800468

この記事へのトラックバック一覧です: なぜ人はソーシャル・エンジニアリングにだまされるのか(1):

« 「重要インフラ情報セキュリティフォーラム2009」開催 | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(2) »