おれさまラボの実験ノート

実際に手を動かして理解を深めるブログ。

サイバーセキュリティとヒューマンエラー

久々の投稿。 Zennにも投稿した内容と同一です。

一番の脆弱性は人間?

TechCrunch Japanがメールセキュリティに革新をもたらしつつあるHacWare社に関する記事『メールセキュリティに革新をもたらすHacWare、創業者はソーシャルエンジニア攻撃を熟知した米国防総省の侵入検査員』を出していたので読んでいたところ気になる一文を見つけました。

格言にもあるように「セキュリティの連鎖の中で最も弱いのは人間」だ。

引用:メールセキュリティに革新をもたらすHacWare、創業者はソーシャルエンジニア攻撃を熟知した米国防総省の侵入検査員 | TechCrunch Japan

これ、結構よく耳にすることばで、英語では "humans are the weakest link in the security chain." と書きます。Google検索なんかで探してみると結構このことばを引用する記事が見つかります。

実際のところどうなのかと思い調べてみたところ、IBMによる2020年の調査が見つかりました。これによれば、情報漏えいの原因の23%が人的ミスによるもの、25%がシステムの欠陥、52%が悪意のある攻撃ということです。情報漏えいインシデントに限った話ではありますが、およそ四分の一のインシデントが人的ミスに起因しているということなので、あながち間違いではないのかもしれません。

転載:Cost of a Data Breach Report 2020 | IBM

また、52%がハッカーや内部の犯罪者によって引き起こされた悪意のある攻撃ということですが、この中には人間の脆弱性を突く攻撃であるソーシャル・エンジニアリングやフィッシングのような人間起因のインシデントも含まれます。悪意のある攻撃の中で、いわゆるシステムへの攻撃に含まれそうなのは「サード・パーティ・ソフトウェアの脆弱性」「物理的セキュリティの侵害」あたりでわずか26%しかありません。システムの構成ミスなども結局は人間起因のものなので、人間という脆弱性を取り除けばセキュリティが強化されるという理論は間違いないと言えそうです。

転載:Cost of a Data Breach Report 2020 | IBM

性悪説ではなく性弱説

さて、人間の弱さといえばサイバーセキュリティの分野に限らず、「人間は生まれつき善人である」という立場をとる "性善説" と、「人間は生まれつき弱い存在である」とする立場をとる "性悪説" が広く知られています。前者は古代中国の思想家である孟子が唱えた説、後者は孟子の説に反論する形でこちらも古代中国の思想家である荀子が唱えた説です。

実はこの "性悪説"、現代では "悪" という字面から「人間は生まれつき悪人である」という主張と誤認されるケースが散見されます。セキュリティ業界においても "性悪説" はよく使われるワードで、その多くが「誰もが攻撃者となりうる」という意味で使用され、だからこそあらゆるセキュリティ対策を尽くすべきとされます。

多くの人が "性悪説" の意味を誤用してしまっているのだから最早問題になることでもないかもしれませんが、正確な表現を要求されることの多いSIerに身を置くものとしては、一抹の気持ち悪さのようなものは感じます。

ここにもうひとつ "性弱説" なることばが存在します。これはどうも現代の造語らしいのですが、人間が本来弱い存在であることを"悪" よりも直接的に強調する意味で "弱" を使ってはどうかという提案です。人間の弱さがセキュリティを脆くしている現代において、"性悪説" と "性弱説" を使い分けるのもありだなと思った今日この頃です。

以上