社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ

増加する“人の脆弱性”を狙った攻撃

　心理学を基盤としながら、常に応用的な研究を行ってきた稲葉緑氏。これまで同氏が一貫して取り組んできた研究テーマは、「人間とリスク」の関係だ。生活におけるあらゆるリスクはゼロにならない中、人間はそれとどう付き合っていけばよいのか──永遠の課題ともいえるこの問題に対し、心理学や安全工学、情報学を融合させた形で解決の糸口を探っている。

　稲葉氏の現在の活動において中核を占めるのが、「企業を対象とした標的型攻撃を含むフィッシング詐欺への対策」だ。特に昨今、攻撃数が爆増しているフィッシングメールに対する従業員訓練の効果を高める方法や、パスキーなどの新しい認証技術の普及促進といった観点から、同氏が所属する情報セキュリティ大学院大学の学生とともに研究を進めている。

　そもそも、なぜ企業では人を標的としたサイバー攻撃被害が発生してしまうのだろうか。その原因のひとつを、同氏は攻撃者の視点から説明する。特に、技術的なセキュリティ対策が充実している企業ほど、人の脆弱性を狙った攻撃の標的にされやすいのだという。

　「ある程度規模の大きい企業や、セキュリティ意識の強い企業であれば、技術的な対策を講じています。そういった企業に対して、攻撃者が正面を切って突撃することは現実的ではありません。そのため、技術だけではガードしきれない“人の脆弱性”を突いた攻撃をしかけてくるのです」（稲葉氏）

　人の脆弱性を狙った攻撃の中で特に多用される手法が、電子メールを用いたフィッシング攻撃だ。その理由について、同氏は「組織に向けた攻撃を行うとなると、SNSのメッセージなどよりも、仕事に関わりの深いメールのほうが効果的だから」と分析する。メールが届くと「仕事に関連する情報が来た」と従業員が認識しやすく、“見ざるを得ない”心理が働きやすいとのことだ。

　メールを用いた攻撃の場合は、送られてきたメールが悪意のあるものかどうかを完全に見極められないという深刻な問題がある。たとえセキュリティの知識がある人でも、届いたメールが攻撃者によるものかを完璧に見分けることは難しいとされている。加えて、生成AIの発展により攻撃が精巧になっている現在、この傾向はさらに強まっているという。