題名 | SNSにおける情報開示行動に関する要因分析 |
著者 | *小川 隆一, 安藤 玲未, 島 成佳 (日本電気(株)クラウドシステム研究所) |
ページ | pp. 499 - 505 |
キーワード | SNS, 情報漏洩, 行動要因分析, サイバー攻撃, ソーシャルエンジニアリング |
アブストラクト | 標的型攻撃では,攻撃対象(管理者など)に特化した成りすまし・偽装が行われ,ある人はそれに気づいて未然に攻撃を防ぎ,ある人は気づかずに引っかかる,ということが起こる.筆者らは,社会人がSNS上で重要な情報を開示する,標的型攻撃メールを開く,といった行動にいたる要因について行動科学的アプローチにより分析を試みている.本稿ではまず,前者のSNSにおける情報開示行動のモデル化を試み,過去の情報漏えい事故等の知見から,「ユーザへの信頼」「ネットのリテラシー」「ネットのマナー」「規範意識」「リスク認知」の5つの要因よりなる情報開示行動モデルを策定した.また,社会人のSNSユーザ1000人を対象とするアンケート調査を設計・実施し,本モデルを検証した.この結果,「ユーザへの信頼」「ネットのリテラシー」がSNS上での情報開示行動に影響する要因であること,「ネットのマナー」「規範意識」「リスク認知」の情報開示行動に対する影響はないことを確認した.この結果は,SNSを使いこなす利用者は,信頼した相手には重要な情報でも開示する傾向を示唆しており,SNSにおけるなりすまし攻撃に対する対策が必要である. |
題名 | 組織情報の外部提供に関する分析と考察 |
著者 | *安藤 玲未, 島 成佳 (NEC), 竹村 敏彦 (佐賀大学) |
ページ | pp. 506 - 511 |
キーワード | 情報漏えい, セキュリティ心理 |
アブストラクト | 近年のサイバー攻撃は,人のミスを誘発させることで情報漏えいの被害を拡大させようとする攻撃が増加している.また,その攻撃は特定の人や組織に特化した攻撃となっていることから対策を講じにくいことが課題となっている.そこで本研究では,攻撃される側(人や組織)の特性を心理学の観点から分析し,被害に遭いやすい条件を明らかにする.本稿では簡単のために,「情報を漏えいさせやすい人」に注目し,分析対象を「情報の内容」と「情報を出す手段」に限定する.この条件で個人が情報を外部に提供する場合,どのように情報をコントロールするかwebアンケート調査を行い,一対比較法にて評価を行った.その結果,情報を出す手段によって情報の出しやすさの違いが見られたので報告する. |
題名 | 私有モバイル端末の業務利用に関する行動モデル構築に向けた意識調査 |
著者 | *畑島 隆, 坂本 泰久 (NTT) |
ページ | pp. 512 - 520 |
キーワード | モバイルワーク, BYOD, シャドーIT, 行動モデル, 情報セキュリティ |
アブストラクト | 我々はモバイルワークにおいて私有携帯型情報端末を用いる際の情報セキュリティリスクの低減を目的として,その行動意識に着目した研究を行っている.私有する携帯型情報端末を用いて労使合意の範囲において業務遂行される形態は BYOD (Bring Your Own Device) と呼ばれている.いっぽう,労使合意以外の利用形態はシャドーIT (Shadow IT) と呼ばれており,情報セキュリティなど企業ガバナンスに対する問題とされている.利便性と安全性を確保しつつBYODを導入運用するためには,情報漏洩等の内部犯行など高いセキュリティリスクが発生しやすい環境での実施を抑止し,リスクが低い場合には端末所有者の利便性に配慮しつつ実施を認める仕組み作りが必要となる.この体系の要件を明らかにするために,モバイルワークにおいて企業従業員がシャドーITを実施してしまう行動のモデル仮説を検証することを目的として,619人に対するWeb質問紙調査を実施した.本稿では調査結果のうち,BYODおよびシャドーITをまとめた私有携帯端末によるモバイルワークの実施形態と,シャドーIT実施時のセキュリティリスク意識,業務データの保存場所や機微度といった個別集計の結果を報告する. |
題名 | ITリスクの動的特性を考慮した対策案組み合わせ最適化技術の提案 |
著者 | *梅原 悠平 (東京電機大学大学院), 安藤 駿 (東京電機大学大学院(現在,日本情報通信株式会社)), 佐々木 良一 (東京電機大学) |
ページ | pp. 521 - 526 |
キーワード | 情報セキュリティ, MRC, 合意形成, ITリスク, 動的 |
アブストラクト | ITシステムへの社会的依存度の増大に伴い,適切にリスクを分析して対策を導く必要性が増大している.その要件を満たすため著者らは多重リスクコミュニケータMRCを開発してきた.MRCは,対立するリスクへの対応するため組合せ最適化問題として定式化し,関与者間でのリスクコミュニケーションを行いつつ対策案の組み合わせについての合意形成を支援するシステムである.MRCで選ばれる対策案は計画段階時に決定するが,リスクは時間経過にともない運用時にも変化する.時間経過にともなう変化にはセキュリティ意識の変化や対策への慣れなどがある.従業員のセキュリティ意識によって対策効果は変化し,対策への慣れによって利便性は向上する.本稿ではこれら運用時の動的変化に着目して最適解を求めることで状況に適した最適な対策の組み合わせを決定するMRCの拡張方式を提案する.あわせて,この方式を内部不正に関する例題に適用することにより,計画段階に施行した対策の組み合わせが対策効果などのパラメータ変化によってどう変わるかを示すとともに,有効性の検討結果を報告する |