セキュリティの心理学

―組織・人間・技術のマネジメント

氏田博士/福澤寧子/福田健/越智啓太 著

情報システム利用者や不正行為者の心理・行動とセキュリティ技術に関する調査・検討を元に、IoTシステムに関わる多くの人にセキュリティ心理学の重要性を解説し、読者が自分の知識として活用できるようになることを目的とする。また、セキュリティ関係者が総合的なセキュリティ対策を講ずることができるように支援する。

書籍データ

発行年月 2019年11月
判型 A5
ページ数 192ページ
定価 本体2,400円+税
ISBNコード 978-4-303-72930-1

amazon 7net

概要

 「セキュリティの心理学」とは、IoTシステムのセキュリティを中心としたセキュリティ問題をハードやソフトの技術的な側面だけではなく、人間の心理的な側面からも考察し、システムのセキュリティを総合的に確保することを目的とする学問分野である。本書は、「セキュリティの心理学」の確立と普及を目指し、この分野の現状をまとめたものである。
 情報セキュリティを例にとると、情報資産をCIA(C:機密性、I:完全性、A:可用性)の観点から保護し、安全に保つことを考えているが、これには必ず人間が関係する。セキュリティ問題において人間の行動を考えるとき、攻撃者と防御者に分けて対策を考えることが必要となる。攻撃者は、意志(故意だけでなく、興味本位など)をもって、目的とする情報資産の盗取や破壊(改ざん、消去)を行う。このために攻撃者は、攻撃目標に対して、心理学や行動科学、犯罪心理学などの知見を利用して攻撃し、目的を達する。ただし、攻撃目的は、直接的な目的(情報資産の盗取・破壊)と間接的な目的(最終的な目的を達成するための情報などを得ること)の場合がある。一方の防御者は、攻撃者が利用したあるいはもっている知見を修得し、そのための防御を考えるだけでなく、情報資産の利用者などに対する教育・訓練などを行うことにより、攻撃者から情報資産を守る方策を考える必要がある。そのため教育・訓練などでは、心理学や行動科学、犯罪心理学などの知見を統合した「セキュリティの心理学」を利用して効果的な対応を行うことを身につけさせることが目標となる。
 本書では、製造業分野、情報通信産業分野などのIoTシステムにおける「セキュリティの心理学」の活用性や研究開発の方向性を明確化するために、利用者や不正行為者の心理的、行動的な観点を考慮したセキュリティにかかわる課題と技術を調査・検討した内容を示す。またこれにより、セキュリティの心理学とは何か、また現状の理解の程度などを整理し、IoTシステムにかかわる多くの人にセキュリティの心理学の重要性を啓蒙し、その内容を自分の知識として活用できるレベルまで向上させることを目指す。これらの活動により、セキュリティ関係者が技術対策のみでなく心理学的な対策を含めた総合的なセキュリティ対策を講ずることができるように支援することが目標である。
 「セキュリティの心理学」は、概念が確立していない発展途上の分野であるので、概念、課題、対策などについて現状の知見を網羅的に収集するとともに体系的に整理してひとつの書籍としてまとめた。認知心理学や犯罪心理学の知見から活用できる内容、確立した心理学体系から明確にいえることいえないこと、不明確だが想定可能なこと、などの視点で整理している。これをIoTシステム系、情報セキュリティ系、心理学系などの人々に発信することにより、議論の輪が広がっていくことを期待している。このため、IoTシステムにかかわる人々、またその方向に進む学生を中心として、情報系や心理系の人々にも読んでほしいと考えている。
 以下、本書の構成を示す。
 まず第1部では、セキュリティと心理学の関係性について述べる。二つの章からなり、第1章ではより広い概念である安全と多様な意味をもつセキュリティの共通点や相違点などの関係を説明する。次いで第2章では、情報セキュリティの人間的側面から課題を整理し、心理学的対策の必要性を述べる。
 第2部では、心理学的考察を記す。まず、セキュリティの心理学の導入部として、その基礎となる認知心理学(行動経済学)における人間行動について第3章で述べる。また比較的同種の課題を抱えており、歴史のある犯罪心理学からセキュリティと関係性の強い領域について第4章で説明する。ここでは、関連する心理学的知見を整理し、セキュリティの心理学への適用について、またその限界などについて記述する。
 第3部では、まったく新しい分野である「セキュリティの心理学」の確立に向けて、まず第5章ではセキュリティの心理学にかかわる現状と有名な手法について述べる。第6章では、犯行者や被害者の特性とその対策とを関連性をもたせながら説明し、将来の方向性を述べる。
(「はじめに」より抜粋)

目次

<第1部 セキュリティと人間>

第1章 安全とセキュリティの関係の明確化
 1.1 定義、相違と共通点
 1.2 人間の捉え方
 1.3 安全の課題
 1.4 情報システムのリスク分析・評価技法
 1.5 安全とセキュリティの達成のために

第2章 ITシステムの情報セキュリティと心理
 2.1 情報セキュリティとは何か
 2.2 情報セキュリティの現実
 2.3 情報セキュリティの難しさ
 2.4 心理的側面からの検討の必要性
 2.5 情報セキュリティ分野における人間的側面からの検討の現状
 2.6 まとめ

<第2部 心理学的考察>

第3章 セキュリティにおけるエラーを人の認知から捉えなおす
 3.1 エラーの特徴を概観しエラーとセキュリティとの関係を考える
 3.2 エラーの定義と分類を再考する
 3.3 概念バグと素朴理論によるエラー
 3.4 演繹推論における意味解釈と視点の違いによるエラー
 3.5 判断過程における歪み
 3.6 まとめ

第4章 犯罪心理学から見た情報セキュリティ
 4.1 犯罪心理学と情報セキュリティ
 4.2 情報セキュリティ犯罪の加害者
 4.3 情報セキュリティ犯罪のプロファイリング
 4.4 情報セキュリティ犯罪の防犯

<第3部 「セキュリティの心理学」の確立に向けて>

第5章 セキュリティの課題と心理学の役割
 5.1 セキュリティの影響と対策
 5.2 攻撃者と被害者の関係
 5.3 内部犯行者の分析
 5.4 外部からの攻撃者の分類
 5.5 被害者の特徴
 5.6 ソーシャルエンジニアリングとは

第6章 「セキュリティの心理学」の課題と対策
 6.1 犯罪機会論と性弱説
 6.2 環境犯罪学
 6.3 状況別犯罪防止論
 6.4 組織管理的対策
 6.5 セキュリティ教育とその評価
 6.6 将来の方向性

プロフィール

氏田博士(環境安全学研究所代表) 第1章、第5章、第6章
福澤寧子(大阪工業大学教授)   第2章
福田 健(清泉女子大学教授)   第3章
越智啓太(法政大学教授)     第4章