[情報システム担当者向け] 「セキュリティ疲労」を乗り越える
2017/02/03日々、パソコンやスマートフォンで仕事をするビジネスマンは、同時に「情報セキュリティを保つために、あれをしろ。これをするな」などと、多くの約束事を守る必要があります。
しかしながら、都度都度「高い情報セキュリティスタンダード」を満たすことに嫌気が差す、また疲労感を感じて、無謀な行動を取ってしまうことがあることが、2016年の米国国立標準技術研究所(National Institute of Standards and Technology, 通称NIST)の調査により判明しました。NISTは、このような人間の行動を「Security Fatigue(セキュリティ疲労)」と呼んでいます。
なぜセキュリティ疲労が起こるのか
この研究の共同執筆者であるMary Theofanosは次のようにコメントしています。「以前は職場で覚えていなければならないパスワードは1つでした。これが現在では25も30ものパスワードを記憶するように命じられます。これほどまでに情報セキュリティのためにしなければならないことが増え、それが人々にどのような影響をもたらしたのか、私たちはきちんと考えてこなかったのです。」
インターネットの登場、クラウドサービスの進化といった正の側面とともに、サイバー攻撃の激化ならび深化という負の側面が同時進行する中で、「情報セキュリティを守る」という誰も反論できない部分がひたすらに肥大化していきました。そして、セキュリティを保つための負担の多くはユーザーに押し付けられたのです。例えば、20年ほど前であれば、8桁のパスワードを設定すれば、それだけで十分な情報セキュリティだと言われました。しかし現在では、12桁以上のパスワードで、英大文字、小文字、数字、記号全てを含み、かつ辞書にある文字列を使ってはいけない、といった具合に1つ1つは複雑で面倒になっていっています。
情報セキュリティを守る、という正しいことを行わねばならないというプレッシャーが人々を苦しめています。面倒な意思決定を強要しています。そして結果として人々を「もうどうでもいいや」とでも言わんばかりの無謀な行動に走らせている側面があることを、セキュリティ疲労についての報告が明らかにしました。例えば、同じパスワードを使い回したり、会社のセキュリティ規則に従わないパスワードをクラウドサービス登録時に設定するなどです。
もちろん、ユーザーはそうした行動が正しいものではないことは分かっています。しかし、毎度毎度面倒をかけさせられることに、ユーザーは疲れ切っているのです。
無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら
セキュリティ疲労を乗り越えるためには
セキュリティ疲労がどれほど強くなろうが、サイバー攻撃の手が緩むわけではありません。よって、私たちは自暴自棄になるのではなく、セキュリティ疲労を乗り越えて進まねばなりません。このためには、企業や組織の情報システム部門、ならびCIO(最高情報責任者)ならびCISO(最高情報セキュリティ責任者)が、現状を直視した上で一般従業員の負荷を減らすための対策を取る必要があります。NISTでは、以下の3点を推奨しています。
1.情報セキュリティに関してのユーザーの意思決定回数を減らす
2.正しいセキュリティのアクションを簡単に選べるようにする
3.可能な限り一貫した意思決定を行えるようなデザイン
まず1についてです。例えば、会社で新しいシステムが追加されたとします。このシステムを利用するには、新しいパスワードを設定する必要があった場合、ユーザーが「会社の情報セキュリティ基準を満たすパスワード」を自分で作らねばならないとしたら、どれだけ面倒に感じるでしょうか。このように、ユーザーに対して何かしら自主的に考えて行動をとらせることが繰り返された結果、セキュリティ疲労が深刻なものになっています。よって、このような場面ではIDパスワード管理サービスを利用して1つのパスワードで複数のシステムにログインできる「シングルサインオン」を実現するなどの負荷軽減努力が必要となります。
2についてですが、「ユーザーに考えさせて作業させる」のではなく、「ユーザーに正しい選択肢を選ばせる」という発想の転換です。考える、入力するといった行動ではなくて、マウスで1クリックで選択できる、それも正しい選択肢を選択できるような設計が求められています。
3についてですが、必要な手順をどう進めればよいのか分からない画面構成、レイアウト、画面ステップなどは、ユーザーのセキュリティ疲労感を大きく強めることになります。いつだれが見ても、同じような行動を一貫して取ることができるデザインは、ユーザーの疲労感を減らす上で重要となります。
IDaaSでセキュリティ疲労を解消する
実は、IDパスワード管理に限定すると、IDaaSを利用することで上記の3つのポイントを乗り越えることができます。
1.情報セキュリティに関してのユーザーの意思決定回数を減らす
IDaaSを利用することがで、パスワードはクラウド上に集約され一元管理されます。今後、新しいシステムやサービスを使う場面があったとしても、新しいパスワードを新たに作成登録する必要はありません。ユーザーは一つの複雑なパスワードを管理して、そのパスワードでIDaaSにログインすることで、IDaaSと連携している全てのサービスをシングルサインオンで利用することができます。パスワードを新たに作成したり覚える手間が省けるだけでなく、入力する手間も不要となります。
2.正しいセキュリティのアクションを簡単に選べるようにする
IDaaSを導入すると、ID管理やパスワード管理のほとんどをIDaaS管理者に委ねることになります。新しいアプリが登場した際の、アプリのIDパスワード作成や紐づけ処理などをユーザーが行う必要はなくなります。そうなると、アクションを選ぶ必要すらなくなっていくのが、正しいIDaaSの活用方法となります。
3.可能な限り一貫した意思決定を行えるようなデザイン
ユーザーが行うべきことを極力減らした結果、ユーザーがアクセスできるIDaaSの管理画面は非常にシンプルなものになります。何故シンプルなのか。それは、ユーザーが行うべきこと、行えることが実はほとんどないからです。IDaaS導入により、ユーザーの意思決定がほぼ不要となります。
このように、IDパスワード管理にまつわるセキュリティ疲労を激減させてくれるのがIDaaS。そして日本企業に最適化されたIDaaSが、弊社GMOグローバルサインが提供する「トラスト・ログイン(旧 SKUID)」となります。直感的で分かりやすい画面デザイン、管理者がほとんど全ての作業を行いユーザ側の負担がかからないシステム構成により、ユーザーはIDパスワードに関して何かしらの意思決定を行うことすらなくなります。そして、1つの複雑なパスワードを覚えているだけで良いという簡潔さを提供することで、多数の複雑なパスワードを管理する負担からユーザーを解放します。
トラスト・ログイン(旧 SKUID)は、登録アプリ数無制限、そしてユーザー数無制限で利用を開始できます。企業や組織におけるセキュリティ疲労を減少させるために、ぜひお試しください。どんな小さな組織でも、逆にどれだけ大きな組織であっても、優れた効果を発揮します。