セキュリティの
学び場

今回の解説ニュース

AIと犯罪心理学を組み合わせてリスクを可視化する研究について発表されています。セキュリティ対策へ人間の心理や判断が及ぼす影響について説明します。

今回の研究は、AIを活用したヒューマンセンシング技術と、犯罪心理学に関する研究成果を組み合わせたコンバージングテクノロジーを活用し、特殊詐欺を高精度に検知する特殊詐欺推定AIモデルの開発を目指すということです。少し難しいので要約すると、AIと犯罪心理学を組み合わせて、詐欺電話などの特殊詐欺を検知するための研究です。

本研究では、1回目の実証実験結果を踏まえて、特殊詐欺推定AIモデルの有効性検証を行う2回目の実証実験を、2022年度上半期に行う予定であるということです。

ITテクノロジー以外の分野からもセキュリティについての考察が

ITテクノロジー以外の分野からも、セキュリティについて考察する研究が数多く発表されています。心理学からは主に「ソーシャルエンジニアリング」に関する研究が見られます。

ソーシャルエンジニアリングとは、人間の弱みに付け込んで秘密情報を入手する攻撃手法です。高度な技術を利用せずとも、被害者から入手した情報を利用し、その本人に成りすますことで、機密情報の窃取など、サイバー攻撃の目的を達成しようと試みます。

2012年に発表された「情報セキュリティ心理学」の論文で、心理学の観点からソーシャルエンジニアリングについてまとめられています。最強のソーシャルエンジニアとも呼ばれているケビン・ミトニックについて、その人間性を社会学者や心理学者が長年研究しており、その代表として「6つの人間性の基本的な傾向」を利用していると述べられています。具体的には「返報性」「一貫性」「社会的証明」「好意」「権威」「希少性」です。心理学に興味のある方は、これら6つのキーワードについて調べてみてください。

例えば、電話によるソーシャルエンジニアリングでは「自分は被害者にならない」と思われがちですが、被害者年齢を見てみると60歳未満も当時の調査で22%も存在しています。さらに、高度なソーシャルエンジニアリング攻撃になると、被害者は自分が被害を受けたことさえわからないまま、攻撃者にIDとパスワードを聞き出されてしまうことがあるということです。

技術は進歩しても残り続ける「人の弱さ」に目を向けた対策を

性弱説に基づいたセキュリティ対策では、何より属人性を排除することが必要です。セキュリティ対策の前提となる、守るべき人の考え方について説明します。

セキュリティ対策においては「性悪説」を前提に考える

性弱説を説明する前に、一般的には性善説と性悪説が存在します。性善説は人がよい人であることを前提としており、性悪説は人が悪い人であることを前提としています。日本人は文化的に性善説を選択することが多く見られますが、セキュリティ対策においては、内部犯行も視野に入れて性悪説を前提とすることが求められています。

「性善説」と「性悪説」とでは異なる解釈の違い

もう一歩踏み込んで考えるべきは、人が弱いということを前提とした性弱説です。例えば、AさんがECサイトの運用担当者だったとします。クレジットカード情報がダークウェブなどで売買できることをAさんは知っています。そして、ECサイトに脆弱性があり、Aさんは会員のクレジットカード情報を見ることができました。結果として、Aさんがクレジットカード情報をダークウェブで販売してしまったとします。この例について、性善説で考えた場合は「ダークウェブが悪い」となりますし、性悪説で考えた場合「Aさんが悪い」となります。しかし、どちらの問題に対策をしたとしても、本質的な解決にはならないことがお分かりいただけるのではないでしょうか。

問題の本質は「それが出来る状況が悪い」と考える事が妥当

問題の本質としては「できる状況が悪い」と考えることが妥当であり、性弱説に基づいたセキュリティ対策が必要です。具体的には、先ほどの例だと、Aさんがクレジットカード情報を見ようとしても見られない対策が必要です。ダークウェブが存在しても、Aさんに魔が差しても、クレジットカード情報は守られることになります。

今回は、セキュリティ対策に人間の心理や判断が及ぼす影響についてお届けしました。技術がどれだけ進歩しても、人の弱さは永遠に残り続けますので、性弱説で属人性を排除した、人にも優しいセキュリティ対策を目指していきましょう。