人間にはもともと保守的で異常を認めない傾向があり、都合の悪い情報を無視したり過小評価してしまうそうです。これは、”正常化の偏見”と言われています。
それ以外にも、
”はっきり分らないことは、自分で勝手に解釈して安心する”
”目の前の刺激に短絡的に反応する”
のが、人間の判断の特性だそうです。
どんなに優れたツールがあっても、それを扱うのは人間です。セキュリティ上の問題を起こさないためには、一人一人の対応が重要で、人間がいかに考え行動するかを知ることは、エラーを防ぐ意味で大変重要ですね。
■
■ セキュリティ対策を妨げる「正常化の偏見」
■
この人間の判断の特性として、10年前の記事ですが、興味深い記事がありました。
参考情報:2006/07/31(ITpro)
「自分だけは大丈夫」,セキュリティ対策を妨げる「正常化の偏見」
http://itpro.nikkeibp.co.jp/article/OPINION/20060726/244325/
このITproの記事によると、過去に何回か津波によって犠牲者を出している地域で、震度5強の大きな地震が観測された際、実際に避難したのは、わずか1.7%の人であったそうです。この数値は、驚くべき数値です。
これは、「自分にとって都合の悪い情報を無視したり、過小評価してしまう人の特性」(正常化の偏見)が原因です。
もし、セキュリティの問題に関しても、「正常化の偏見」で、自分には問題が起きない、自分は大丈夫と考え、ウイルスやスパイウェア等の対策を怠ればいつか、大変な事になります。
なお、この参考情報の中で「脅かすだけでは効果は薄い。その場では『怖い』と思っても,長続きはしない。重要なことは,なぜ危ないのか,どのように回避すればよいのかを理解してもらうこと」と説明されています。
セキュリティ対策も同じで、何故、ウイルス対策、スパイウェア対策、個人情報漏洩対策等が、何故必要なのか、対策はどうしたら良いかを理解してもらうことが必要です。
しかし、そのときに、分りやすく説明しなければ、「都合の悪い情報を無視したり、過小評価する」人間の判断の特性で、”面倒くさい、対策をしなくても大丈夫だ!”となりがちなので、注意が必要です。
上記のITproの記事でも説明されていますが、”セキュリティ対策は、問題・対策を、分りやすく、継続的に伝えていく”ことが大事だと思います。
■
■ 人間の判断の特性について
■
IT社会で起きる、個人情報漏洩、ウイルス感染、パソコン・スマホ紛失、などのセキュリティの問題は、事前対策不足も含め、人が原因の”ヒューマンエラー”とも考えられます。
”正常化の偏見”、”こじつけ解釈”、”目の前の刺激に短絡的に反応する”など、”人間の判断の特性”について紹介します。
■(1) 正常化の偏見
人間はもともと保守的で異常を認めない傾向があり、異常が発生しても明確な証拠がないと行動を起こさない傾向があります。
例えば、津波などで逃げ遅れ、やっと助かった人の中には、「徴候があったが、大したことはない」と楽観的に事態を解釈した人がいたそうです。地震などについても多くの場合がすぐにおさまることから、窓を開けて退避経路を確保する人は少ないと言われています。
1986年4月26日に旧ソ連で発生したチェルノブイル事故においても、運転員たちは当初、事態の重大さを理解しておらず、システムのどこかにちょっとしたトラブルが起こっているのだろうと軽く考えていました。
■(2) こじつけ解釈
一般に、人間はいろいろな情報を集めて、情報相互の矛盾があると不安になります。そこで不安低減のためにそれらの情報を使ってうまく全体が説明できるような物語を作って安心する傾向があります。
さらにやっかいなことは、人間は一度納得のできる解釈をしてしまうと、それ以上の原因追及をしなくなる傾向があります。
■(3) 目の前の刺激に短絡的に反応する
人間の視覚は貧弱で、視野は狭く、はっきり見えて色も分かる視野範囲はかなり限られています。しかもわりと主要な箇所に盲点があり、その部分は見えていません。
なお、危機的状況になると、目の前の刺激に短絡的に反応することで、的確な反応ができず、誤った行動をとる場合があります。
■(4) 勝手に解釈
一般に、人は赤信号を見ると「赤」と理解すると思われてますが、条件によっては「青」と認識する場合も否定できません。特に、あいまいな情報があると、前後の刺激から情報を勝手に解釈し、誤ってしまいます。
例えば、Bの前後に、数値が12、B、14と並んでいると「13」と解釈され、A、13、Cと並んでいるとBと解釈される可能性があります。
物理的刺激は、周りの環境(または文脈)によっては別なものと認識される可能性があるということを十分考慮して設計しなければなりません。
■(5) 頼りにならない記憶
一度記憶されたものは永遠に記憶されるのではないことは経験的、実験的に知られています。忘却に関する研究では、記憶が如何に頼りないものであるかを示しています。
しかし、一般に、管理者の中には、一度注意の通達を出しておけばずっと効果があるものという思いこみをしている人が多いようです。一般に記憶は保持されることが難しく、2日も経過すれば5分の1も残っていないのです。
■
■ 人間の判断特性を考慮したセキュリティ対策
■
まず、人間の判断の特性を考えた場合、セキュリティ上、どのような問題があるか考えてみます。
(1) 騒がれているウイルスやスパイウェアは自分のパソコンでは心配ない、特別な対策はしなくて大丈夫だ(正常化の偏見)
(2) パソコンや携帯機器の紛失で、重要なデータを紛失している人がいるが、きちんと管理していれば起こらない、自分は大丈夫だ(正常化の偏見)
(3) 最近パソコンの調子がおかしいが、きっと、これはパソコンの性能が低いためだろう、心配しないでOK(こじつけ解釈)
(4) ウイルス対策に加え、スパイウェア対策まで、面倒くさいなあ、自分は変なソフトをダウンロードしないから大丈夫だろう(こじつけ解釈)
(5) フィッシング詐欺が増えていると聞いたが、どんな問題だっかな?まあ、気にしなくていいだろう(頼りにならない記憶)
(6) 銀行やプロバイダからパスワードを変更するようメールがきたので、メールで指定されたホームページに急いでログインした(目の前の刺激に短絡的に反応)
様々なセキュリティ問題は、この人間の特性を知って対応しなければ有効な対策になりませんね。
(1) セキュリティに関する最新情報を定期的に入手し、いつか自分にもふりかかると考え、被害に会わないよう準備する。
(2) セキュリティ問題は、問題が起きたときは既に遅い、ウイルス・スパイウェア等のセキュリティ対策をなるべく早く事前に実施する。
(3) 偽装したメールに騙されないよう、慌てず、冷静に対応する。
(4) セキュリティ対策を実施してもらうためには、危険性と対策を分かりやすく、かつ繰り返し伝える。