ネット時代になって現れた社会の新しい脅威ともいうべきサイバー攻撃。先日も公開予定の米国映画が某国のサーバー攻撃によって公開中止に追い込まれ、話題になった。この脅威に対し、様々なセキュリティ対策が講じられている。しかし、なりすましメールに含まれる不正なURLをうっかりクリックするなど、サイバー攻撃の被害や情報漏洩などの主な原因である人為ミスは個人の性格に依存することが多いという。このため、画一的な対策が困難なのが現状だ。
今回、富士通<6702>と富士通研究所は19日、メールやWebなどのPC操作から、サイバー攻撃の被害に遭いやすいユーザーを判定し、個々のユーザーや組織に合わせたセキュリティ対策を可能にする技術を開発したと発表した。
この技術を適用することで、不審メールに含まれるURLをよく確認せずにクリックするユーザーに対して個別に注意喚起のメッセージを表示したり、ウイルス被害に遭いやすい人が多い部門で不審メールに対する警戒レベルを上げたりといったきめ細かいセキュリティ対策が可能になるという。
具体的には、ウイルス被害・詐欺・情報漏洩という3種類の被害に対して、社会心理学の専門家の助言によって、ネット上のアンケート調査で被害に遭いやすい人の心理特性を分析した。被験者は全国の20~60歳代の会社員(男女)約2,000名で、業務の大半を自分専用のパソコンで行い、かつ、そのうち半数が被害の経験があるもの。分析の結果、リスクよりもメリットを優先する人(ベネフィット認知が高い人)はウイルス被害に遭いやすいことや、PCを使いこなしている自信の強い人は情報漏洩のリスクが高いなどの傾向が明らかになった。
また、PC操作による行動上の特徴とサイバー攻撃の被害に遭いやすい心理特性との関連を明らかにし、行動からユーザーの被害リスクを算出する技術を開発した。ユーザーのPC操作ログ(メール操作やWebアクセス、キー・マウス操作など)を収集するツール、PCフリーズなどの疑似的な異常状態を作り出すツールを開発して、富士通の 従業員約250名にアンケート調査を行い、被害に遭いやすいユーザーの心理特性と行動特性の関連を分析して数値化した。
これにより、PCを使いこなしている自信の強いユーザーは、PCを擬似的にフリーズ状態にしてキーを動かなくすると、キー操作が多いことや、ベネフィット認知の高いユーザーはプライバシーポリシーを読む時間が短いことがわかった。
このように、個人や組織のセキュリティリスクを見える化し、ユーザーのリテラシーを向上させることで、組織に合わせた予防的なセキュリティ対策につなげる。URLをよく確認しないユーザーに対して個別に注意喚起のメッセージを表示することでフィッシングメールによる情報漏洩を予防したり、 詐欺被害に遭いやすい人が多い部門に対して不審メールの警戒レベルを上げたりといった予防的なセキュリティ対策が可能になるとしている。富士通と富士通研究所は開発技術の2016年の実用化を目指す方針だ。(編集担当:慶尾六郎)