発表

1A-023

情報セキュリティの専門家はきちんとセキュリティしているか?

[責任発表者] 越智 啓太:1
1:法政大学

問  題
 情報セキュリティをめぐるさまざまなインシデント、詐欺などの犯罪、テロ行為が日々発生しており、また、今後も増大することが予測されている。これらの事件のほとんどは、高度なセキュリティ技術によってなされるわけではなく、極めて単純なテクニックを用いたものやいわゆるソーシャルエンジニアリングによって行われているものが多く、規則を遵守したり、セキュリティソフトをきちんと導入し、アップデートしたり、添付ファイルを不用意にあけたりしなければ防げるものが多い。このようなことからセキュリティ問題における最大のセキュリティホールはそれを扱う人間にあると行っても良いと思われる。
 そこで、我々は、システムを扱う人間の側がどのような脆弱性を持っているかについて一連の研究を行うことにした。まず、情報セキュリティに関してどの程度リスキーな行動をとるかについてのセキュリティリスク行動尺度とどの程度セキュリティ行動をとっているかについてのセキュリティ行動尺度を作成した。リスク行動尺度は、サイト閲覧・ダウンロードリスク、パスワード公共リスク(パスワードを人前で入力するなど)、パスワード管理リスク(パスワードを紙に書いて貼っておくなど)、ワイファイリスク(フリーワイファイで重要な情報のやりとりをするなど)、個人情報リスク(個人情報をSNSで発信している)の5つの下位尺度から構成されている(越智,2017)
 今回報告するのは、職業や専攻によってこれらの行動が異なっているかについての分析である。具体的にはいわゆる文系の仕事(営業・事務職)・専攻、理系の仕事・専攻、IT系の仕事・専攻ごとにこれらの行動に違いがあるかについて検討した。
           方  法
調査参加者:18歳以上の男女1500名、男性750名、女性750名、年齢層10代、20代、30代、40代、50代以上の5つのカテゴリーでそれぞれ300名ずつ。平均年齢36.83歳(標準偏差 15.14)、男性 36.94歳(標準偏差15.30)、女性 36.71歳(標準偏差14.98)。
調査方法:調査はウェブ調査で行った。調査は2016年12月に行った。調査対象者のうち、理系(IT系のぞく)のの学生・技術者・公務員176名、IT系の学生・技術者・公務員は53名、文系の学生・会社員・その他(主婦等)1271名のそれぞれの職業カテゴリー間に、情報セキュリティ行動に違いがあるかについて検討した。
まず、知識量の自己評定について一元配置の分散分析を行ったところ、職業カテゴリー(F(2,1497)=34.04, p<.01)となった。Tukey法で多重比較を行ったところ、文系=理系<IT系となった。これは当たり前のことであるが、IT系は有意にコンピューターやネットワークについて多くの知識を持っていた。
 次に、リスク行動に違いがあるかを分散分析によって比較してみた。結果を以下の図に示す。数値的には、IT系のリスク行動が少なかったが、分散分析を行ったところ有意差は検出されなかったF(2,1497)=2.58(n.s.)。つまり、職業・専攻別にリスク行動に違いは生じなかった。一方で、セキュリティ行動尺度についてはF(2,1497)=19.29(p<.01)となった。多重比較の結果、IT系が他の2つのグループに比べてより、セキュリティ行動を行っていることが分かった。
 さらにこまかく分析するためにリスク尺度の下位尺度ごとに分析を行ってみた。その結果、サイト閲覧・ダウンロードリスク尺度についてはF(2,1497)=6.95(p<.01)、パスワード公共リスク尺度についてはF(2,1497)=5.31(p<.01)、パスワードの管理リスク尺度についてはF(2,1497)=2.60(n.s.)、ワイファイリスク尺度についてはF(2,1497)=7.51(p<.01)、個人情報リスク尺度についてはF(2,1497)=1.43(n.s.)となった。
多重比較を行ったところ、サイト閲覧・ダウンロードリスク尺度については、文系<理系<IT系、パスワード公共リスクでは文系=IT<理系、ワイファイリスクではIT系<文系=理系の順でリスク行動がとられやすいことが示された。

           考  察
 情報セキュリティ行動に関して、文系、理系という区分では差はほとんど生じなかった。一方でIT系のものは、やはり、しっかりとセキュリティ行動をしていることが分かった。また、リスク行動に関しては、IT系はサイト閲覧やダウンロードに関しては、おそらく職業上の必要性からだと思われるがより多くのリスク行動をしているが、そのほかの面ではリスク行動をしていないということがわかった。

詳細検索