サイバーセキュリティの非難文化に対するサイバー心理学者の見解

「不注意な人だけがハッキングされます。」サイバーセキュリティに対する一般的な信念です。しかし、それは本当ですか？  

サイバー心理学の第一人者であるエリック・ハフマン博士は、この問題を何年もかけて研究してきました。彼の研究は、人間の行動がサイバーセキュリティにどのような影響を与えるのか、そしてなぜ従来の生存本能がオンラインで私たちを守れないのかを掘り下げています。

彼の発見は?最も準備ができている人でさえ、侵入されます。

The Segment: A Zero Trust Leadership Podcastの最新エピソードでは、今日の攻撃の現実と、ゼロトラストが侵害への備えに対する最良の答えである理由についてハフマン氏と話し合いました。

責任転嫁はサイバーセキュリティを妨げています

ハフマンによると、情報漏えいに対する最も有害な反応の1つは、すぐに本能的に個人を責めることです。  

「 事件 が起こると、誰もが『どうしてこんなことが起こったのか、どうやって防ぐのか』ではなく、『誰が何を間違えたのか?』に飛びつきます」と彼は説明した。

この非難の文化は逆効果であるだけでなく、時代遅れです。現実には、最もリソースが豊富でセキュリティ意識の高い組織でさえ、侵害に見舞われています。  

「100%のセキュリティは存在しません」と彼は言いました。「国民国家が参入したいのであれば、参入するでしょう。」

焦点は非難から分析に移り、何が起こったのかを理解し、そこから学び、防御を適応させる必要があります。

ハッカーは愚かさではなくストレスを悪用します

ハフマン氏は、業界はサイバー意識の向上に多くの時間を費やしすぎており、サイバーへの備えには十分な時間を費やしていないと断固として主張しています。

「私たちは何に注意すべきかを人々に伝え続けていますが、ストレス下での反応に備えているわけではありません」と彼は言った。  

サイバー犯罪者は、警戒心が強く警戒している人を標的にしません。彼らは彼らが脆弱なときに彼らを攻撃します。レイオフにストレスを感じているとき、締め切りに間に合わせるために急いでいるとき、または緊急と思われるリクエストに感情的に関与しているとき。

ハフマン氏は、鍵は個人の弱さを理解することだと言います。「一般的な脅威だけでなく、攻撃者が使用する特定の心理戦術についても人々を訓練する必要があります。人にはそれぞれ独自の引き金があります。」

AIを駆り立てた新たな攻撃の波が予想される

AI 主導の攻撃の増加は、この問題をさらに悪化させるだけです。ディープフェイクの音声とビデオはすでにサイバー攻撃に使用されており、脅威アクターは幹部になりすまして不正な取引を承認しています。

「見たり聞いたりしたものを信頼できなくなったらどうなるでしょうか?」ハフマンは尋ねた。「私たちは『検証、検証、検証』が第二の天性になる必要がある時代に突入しています。」

セキュリティリーダーは、既知の連絡先からの電話でさえ額面通りに受け取れない世界に備える必要があります。ゼロトラスト原則と組織全体でゼロトラストの考え方を採用することは、AIを活用した欺瞞に対抗する上で非常に重要です。

ゼロトラストは組織のシートベルトです

では、どうすれば気づきから備えに移行できるでしょうか？  

ハフマン氏は、次の重要な手順を提案しています。

• 脅威評価:個人がどのような個人的な脆弱性を抱えているか、そしてそれらがどのように悪用される可能性があるかを特定する
• 対処評価: 個人が最も脆弱なときに脅威をどのように認識し、対応するかについての戦略を策定する

準備とは、従業員に抽象的な脅威について教えるだけでなく、自分自身を守るための実践的なツールを提供することを意味します。

「人々を怖がらせるのをやめて、彼らに力を与え始める必要があります」と彼は言いました。「今のところ、サイバーセキュリティはシートベルトなしで車を運転しているような気分です。悪いことが起こらないことを願っています。私たちは人々にサイバーセキュリティのシートベルトを与える必要があります。」

組織レベルでは、ゼロトラストも同じ役割を果たします。

「ゼロトラストはテクノロジーだけではありません。それはメンタリティです」とハフマンは語った。「それは『信頼するが検証する』ではなく、『検証してからもう一度検証する』ということです。」

サイバー準備トレーニングと並行してゼロトラストを採用する組織は、人間と技術の両方の脆弱性に対する レジリエンス を構築します。そして今日の世界では、回復力がゲームの名前です。

ITからサイバー心理学への道のり

ハフマンのサイバー心理学への道は直線的ではありませんでした。  

コンピューターサイエンスの学位を取得した後、彼はIT業界でキャリアをスタートさせ、ネットワークの修正とセキュリティ問題のトラブルシューティングを行いました。しかし、連続したデータ侵害を直接経験した後、彼の見方は劇的に変わりました。  

「私はこの問題にあらゆるセキュリティ対策を講じていましたが、それでも侵害は起こり続けました」と彼は回想します。「私は自問しなければなりませんでした。愚かな人だけがハッキングされるなら、私は愚かですか?」

答えを見つけようと決心した彼は、調査に目を向け、データ侵害の90％以上が、エラーまたはソーシャルエンジニアリングによる人間の行動に関係していることを発見しました。この認識が彼をサイバー心理学へと導き、それ以来2万人以上の参加者を対象に研究を行い、世界中の220以上の組織と協力してサイバーセキュリティと人間の行動のギャップを埋めてきました。  

現在、受賞歴のある教育者、起業家、講演者、研究者である彼の洞察は、NASA-Goddard、ISACA、TEDx、およびその他の主要なフォーラムで共有されています。彼は現在、米国国立標準技術研究所(NIST)の 研究協力者 です。

The Segment: A Zero Trust Leadership Podcast を聴き、購読し、レビューする

ハフマン博士との私の議論の全文を聞きたいですか?今週のエピソードは、 Apple Podcasts、 Spotify、またはポッドキャストを入手できる場所ならどこでもお聴きください。エピソードの 全文 も読むことができます。