サイバーセキュリティの非難文化に対するサイバー心理学者の見解

「不注意な人だけがハッキングされます。」サイバーセキュリティに対する一般的な信念です。しかし、それは本当ですか？  

サイバー心理学の第一人者であるエリック・ハフマン博士は、この問題を何年もかけて研究してきました。彼の研究は、人間の行動がサイバーセキュリティにどのような影響を与えるのか、そしてなぜ従来の生存本能がオンラインで私たちを守れないのかを掘り下げています。

彼の発見は?最も準備ができている人でさえ、侵入されます。

The Segment: A Zero Trust Leadership Podcastの最新エピソードでは、今日の攻撃の現実と、ゼロトラストが侵害への備えに対する最良の答えである理由についてハフマン氏と話し合いました。

責任転嫁はサイバーセキュリティを妨げています

ハフマンによると、情報漏えいに対する最も有害な反応の1つは、すぐに本能的に個人を責めることです。  

“When an incident happens, everyone jumps to ‘Who did what wrong?’ instead of ‘How did this happen and how do we prevent it?’” he explained.

この非難の文化は逆効果であるだけでなく、時代遅れです。現実には、最もリソースが豊富でセキュリティ意識の高い組織でさえ、侵害に見舞われています。  

「100%のセキュリティは存在しません」と彼は言いました。「国民国家が参入したいのであれば、参入するでしょう。」

焦点は非難から分析に移り、何が起こったのかを理解し、そこから学び、防御を適応させる必要があります。

ハッカーは愚かさではなくストレスを悪用します

ハフマン氏は、業界はサイバー意識の向上に多くの時間を費やしすぎており、サイバーへの備えには十分な時間を費やしていないと断固として主張しています。

「私たちは何に注意すべきかを人々に伝え続けていますが、ストレス下での反応に備えているわけではありません」と彼は言った。  

サイバー犯罪者は、警戒心が強く警戒している人を標的にしません。彼らは彼らが脆弱なときに彼らを攻撃します。レイオフにストレスを感じているとき、締め切りに間に合わせるために急いでいるとき、または緊急と思われるリクエストに感情的に関与しているとき。

ハフマン氏は、鍵は個人の弱さを理解することだと言います。「一般的な脅威だけでなく、攻撃者が使用する特定の心理戦術についても人々を訓練する必要があります。人にはそれぞれ独自の引き金があります。」

AIを駆り立てた新たな攻撃の波が予想される

The rise of AI-driven attacks only makes this problem worse. Deepfake audio and video are already being used in cyberattacks, with threat actors impersonating executives to authorize fraudulent transactions.

「見たり聞いたりしたものを信頼できなくなったらどうなるでしょうか?」ハフマンは尋ねた。「私たちは『検証、検証、検証』が第二の天性になる必要がある時代に突入しています。」

Security leaders must prepare for a world where even a phone call from a known contact can’t be taken at face value. Adopting Zero Trust principles — and a Zero Trust mindset throughout the organization — will be crucial in countering AI-powered deception.

ゼロトラストは組織のシートベルトです

では、どうすれば気づきから備えに移行できるでしょうか？  

ハフマン氏は、次の重要な手順を提案しています。

• 脅威評価:個人がどのような個人的な脆弱性を抱えているか、そしてそれらがどのように悪用される可能性があるかを特定する
• 対処評価: 個人が最も脆弱なときに脅威をどのように認識し、対応するかについての戦略を策定する

準備とは、従業員に抽象的な脅威について教えるだけでなく、自分自身を守るための実践的なツールを提供することを意味します。

「人々を怖がらせるのをやめて、彼らに力を与え始める必要があります」と彼は言いました。「今のところ、サイバーセキュリティはシートベルトなしで車を運転しているような気分です。悪いことが起こらないことを願っています。私たちは人々にサイバーセキュリティのシートベルトを与える必要があります。」

組織レベルでは、ゼロトラストも同じ役割を果たします。

「ゼロトラストはテクノロジーだけではありません。それはメンタリティです」とハフマンは語った。「それは『信頼するが検証する』ではなく、『検証してからもう一度検証する』ということです。」

Organizations that adopt Zero Trust alongside cyber preparedness training build resilience against both human and technological vulnerabilities. And in today’s world, resilience is the name of the game.

ITからサイバー心理学への道のり

ハフマンのサイバー心理学への道は直線的ではありませんでした。  

コンピューターサイエンスの学位を取得した後、彼はIT業界でキャリアをスタートさせ、ネットワークの修正とセキュリティ問題のトラブルシューティングを行いました。しかし、連続したデータ侵害を直接経験した後、彼の見方は劇的に変わりました。  

「私はこの問題にあらゆるセキュリティ対策を講じていましたが、それでも侵害は起こり続けました」と彼は回想します。「私は自問しなければなりませんでした。愚かな人だけがハッキングされるなら、私は愚かですか?」

答えを見つけようと決心した彼は、調査に目を向け、データ侵害の90％以上が、エラーまたはソーシャルエンジニアリングによる人間の行動に関係していることを発見しました。この認識が彼をサイバー心理学へと導き、それ以来2万人以上の参加者を対象に研究を行い、世界中の220以上の組織と協力してサイバーセキュリティと人間の行動のギャップを埋めてきました。  

Now an award-winning educator, entrepreneur, speaker, and researcher, his insights have been shared at NASA-Goddard, ISACA, TEDx, and other leading forums. He’s currently a Research Collaborator at the National Institute of Standards and Technology (NIST).

The Segment: A Zero Trust Leadership Podcast を聴き、購読し、レビューする

Want to hear my full discussion with Dr. Huffman? Listen to this week’s episode on Apple Podcasts, Spotify, or wherever you get your podcasts. You can also read a full transcript of the episode.